22.3. 웹 서버 및 클라이언트 인증에 대한 CA ACL 생성


CA ACL(인증 기관 액세스 제어 목록) 규칙은 사용자, 서비스 또는 호스트에 인증서를 발급하는 데 사용할 수 있는 프로필을 정의합니다. 프로필, 주체 및 그룹을 연결함으로써 CA ACL은 보안 주체 또는 그룹을 통해 특정 프로필을 사용하여 인증서를 요청할 수 있습니다.

예를 들어, CA ACL을 사용하면, 관리자는 런던에 위치한 사무실에서 작업 중인 직원들에게 런던 관련 그룹의 멤버인 사용자에게만 사용할 수 있는 프로필의 사용을 제한할 수 있습니다.

22.3.1. IdM CLI에서 CA ACL 보기

IdM 배포에서 사용 가능한 인증 기관 액세스 제어 목록(CA ACL) 목록과 특정 CA ACL의 세부 정보를 보려면 다음 절차를 따르십시오.

절차

  1. IdM 환경의 모든 CA ACL을 보려면 ipa caacl-find 명령을 입력합니다.

    $ ipa caacl-find
    -----------------
    1 CA ACL matched
    -----------------
      ACL name: hosts_services_caIPAserviceCert
      Enabled: TRUE
  2. CA ACL의 세부 정보를 보려면 ipa caacl-show 명령을 입력하고 CA ACL 이름을 지정합니다. 예를 들어 hosts_services_caIPAserviceCert CA ACL의 세부 정보를 보려면 다음을 입력합니다.

    $ ipa caacl-show hosts_services_caIPAserviceCert
      ACL name: hosts_services_caIPAserviceCert
      Enabled: TRUE
      Host category: all
      Service category: all
      CAs: ipa
      Profiles: caIPAserviceCert
      Users: admin

22.3.2. webserver-ca에서 발행한 인증서를 사용하여 웹 클라이언트에 인증하는 웹 서버에 대한 CA ACL 생성

다음 절차에 따라 시스템 관리자가 HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM 서비스에 대한 인증서를 요청할 때 webserver-ca 하위 CA 및 caIPAserviceCert 프로필을 사용해야 하는 CA ACL을 생성합니다. 사용자가 다른 하위 CA 또는 다른 프로필의 인증서를 요청하면 요청이 실패합니다. 유일한 예외는 활성화된 또 다른 일치하는 CA ACL이 있는 경우입니다. 사용 가능한 CA ACL을 보려면 IdM CLI에서 CA ACL 보기를 참조하십시오.

사전 요구 사항

  • HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM 서비스가 IdM의 일부인지 확인합니다.
  • IdM 관리자의 인증 정보가 있는지 확인합니다.

절차

  1. ipa caacl 명령을 사용하여 CA ACL을 생성하고 이름을 지정합니다.

    $ ipa caacl-add TLS_web_server_authentication
    --------------------------------------------
    Added CA ACL "TLS_web_server_authentication"
    --------------------------------------------
      ACL name: TLS_web_server_authentication
      Enabled: TRUE
  2. ipa caacl-mod 명령을 사용하여 CA ACL을 수정하여 CA ACL 설명을 지정합니다.

    $ ipa caacl-mod TLS_web_server_authentication --desc="CAACL for web servers authenticating to web clients using certificates issued by webserver-ca"
    -----------------------------------------------
    Modified CA ACL "TLS_web_server_authentication"
    -----------------------------------------------
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
  3. CA ACL에 webserver-ca 하위 CA를 추가합니다.

    $ ipa caacl-add-ca TLS_web_server_authentication --ca=webserver-ca
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
    -------------------------
    Number of members added 1
    -------------------------
  4. ipa caacl-add-service 를 사용하여 보안 주체가 인증서를 요청할 수 있는 서비스를 지정합니다.

    $ ipa caacl-add-service TLS_web_server_authentication --service=HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
      Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
    -------------------------
    Number of members added 1
    -------------------------
  5. ipa caacl-add-profile 명령을 사용하여 요청된 인증서의 인증서 프로필을 지정합니다.

    $ ipa caacl-add-profile TLS_web_server_authentication --certprofiles=caIPAserviceCert
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
      Profiles: caIPAserviceCert
      Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
    -------------------------
    Number of members added 1
    -------------------------

    새로 생성된 CA ACL을 즉시 사용할 수 있습니다. 기본적으로 생성된 후 활성화됩니다.

참고

CA ACL의 핵심은 특정 보안 주체 또는 그룹에서 들어오는 요청에 대해 허용되는 CA 및 프로필 조합을 지정하는 것입니다. CA ACL은 인증서 검증 또는 신뢰에 영향을 미치지 않습니다. 인증서 사용 방식에는 영향을 미치지 않습니다.

22.3.3. webclient-ca에서 발행한 인증서를 사용하여 웹 서버에 인증하는 사용자 웹 브라우저의 CA ACL 생성

다음 절차에 따라 시스템 관리자가 인증서를 요청할 때 webclient-ca 하위 CA 및 Cryostat UserRoles 프로필을 사용해야 하는 CA ACL을 생성합니다. 사용자가 다른 하위 CA 또는 다른 프로필의 인증서를 요청하면 요청이 실패합니다. 유일한 예외는 활성화된 또 다른 일치하는 CA ACL이 있는 경우입니다. 사용 가능한 CA ACL을 보려면 IdM CLI에서 CA ACL 보기를 참조하십시오.

사전 요구 사항

  • IdM 관리자의 인증 정보를 가져왔는지 확인합니다.

절차

  1. ipa caacl 명령을 사용하여 CA ACL을 생성하고 이름을 지정합니다.

    $ ipa caacl-add TLS_web_client_authentication
    --------------------------------------------
    Added CA ACL "TLS_web_client_authentication"
    --------------------------------------------
      ACL name: TLS_web_client_authentication
      Enabled: TRUE
  2. ipa caacl-mod 명령을 사용하여 CA ACL을 수정하여 CA ACL 설명을 지정합니다.

    $ ipa caacl-mod TLS_web_client_authentication --desc="CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca"
    -----------------------------------------------
    Modified CA ACL "TLS_web_client_authentication"
    -----------------------------------------------
      ACL name: TLS_web_client_authentication
      Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
      Enabled: TRUE
  3. CA ACL에 webclient-ca 하위 CA를 추가합니다.

    $ ipa caacl-add-ca TLS_web_client_authentication --ca=webclient-ca
      ACL name: TLS_web_client_authentication
      Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
      Enabled: TRUE
      CAs: webclient-ca
    -------------------------
    Number of members added 1
    -------------------------
  4. ipa caacl-add-profile 명령을 사용하여 요청된 인증서의 인증서 프로필을 지정합니다.

    $ ipa caacl-add-profile TLS_web_client_authentication --certprofiles=IECUserRoles
      ACL name: TLS_web_client_authentication
      Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
      Enabled: TRUE
      CAs: webclient-ca
      Profiles: IECUserRoles
    -------------------------
    Number of members added 1
    -------------------------
  5. ipa caacl-mod 명령을 사용하여 CA ACL을 수정하여 CA ACL이 모든 IdM 사용자에게 적용되도록 지정합니다.

    $ ipa caacl-mod TLS_web_client_authentication --usercat=all
    -----------------------------------------------
    Modified CA ACL "TLS_web_client_authentication"
    -----------------------------------------------
      ACL name: TLS_web_client_authentication
      Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
      Enabled: TRUE
      User category: all
      CAs: webclient-ca
      Profiles: IECUserRoles

    새로 생성된 CA ACL을 즉시 사용할 수 있습니다. 기본적으로 생성된 후 활성화됩니다.

참고

CA ACL의 핵심은 특정 보안 주체 또는 그룹에서 들어오는 요청에 대해 허용되는 CA 및 프로필 조합을 지정하는 것입니다. CA ACL은 인증서 검증 또는 신뢰에 영향을 미치지 않습니다. 인증서 사용 방식에는 영향을 미치지 않습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.