20장. IdM에서 ACME 서비스 배포 및 관리
이 기능은 기술 프리뷰 기능입니다.
ACME(Automated Certificate Management Environment)는 자동 식별자 검증 및 인증서 발급을 위한 프로토콜입니다. 목표는 인증서 수명을 줄이고 인증서 라이프사이클 관리에서 수동 프로세스를 방지하여 보안을 개선하는 것입니다.
RHEL IdM(Identity Management)을 사용하여 관리자는 단일 시스템에서 ACME 서비스 토폴로지를 쉽게 배포하고 관리할 수 있습니다.
20.1. IdM의 ACME 서비스
이 기능은 기술 프리뷰 기능입니다.
IdM은 현재 Random Certificate Serial Numbers (RSNv3)가 활성화된 RHEL 9.2 이상에서만 ACME를 지원합니다.
ACME는 과제 및 응답 인증 메커니즘을 사용하여 클라이언트가 ID를 제어할 수 있음을 증명합니다. ACME에서 식별자는 문제를 해결함으로써 인증서를 얻는 데 사용되는 소유권 증명입니다. IdM(Identity Management)에서 ACME는 현재 다음과 같은 과제를 지원합니다.
-
클라이언트에서 DNS 레코드를 생성하여 ID를 제어하는 DNS
-01 -
클라이언트가 HTTP 리소스를 프로비저닝하여 이를 증명하기 위해 ID를 제어하는 HTTP
-01
IdM에서 ACME 서비스는 PKI ACME 응답자를 사용합니다. ACME 하위 시스템은 IdM 배포의 모든 CA 서버에 자동으로 배포되지만 관리자가 활성화할 때까지 요청 서비스를 제공하지 않습니다. 서버는 ipa-ca.DOMAIN 이라는 이름을 사용하여 검색됩니다. 모든 IdM CA 서버는 이 DNS 이름에 등록되므로 요청이 라운드 로빈을 통해 부하 분산됩니다.
관리자가 ipa-server-upgrade 명령을 사용하여 서버를 업그레이드할 때 ACME도 배포되었지만 비활성화되어 있습니다.
ACME는 Apache Tomcat 내에서 별도의 서비스로 실행됩니다. ACME 구성 파일은 /etc/pki/pki-tomcat/acme 에 저장되고 PKI 정보는 /var/log/pki/pki-tomcat/acme/ 에 기록됩니다.
IdM은 ACME 인증서를 발행할 때 acmeIPAServerCert 프로필을 사용합니다. 발급된 인증서의 유효 기간은 90일입니다. 따라서 CA에 누적되지 않도록 ACME를 자동으로 제거하여 성능에 부정적인 영향을 미칠 수 있으므로 ACME를 설정하는 것이 좋습니다.
다양한 ACME 클라이언트가 있습니다. RHEL과 함께 사용하려면 선택한 클라이언트에서 dns-01 및 http-01 챌린지 중 하나를 지원해야 합니다. 현재 다음 클라이언트가 테스트되었으며 RHEL에서 ACME와 함께 작동하는 것으로 알려져 있습니다.
-
http-01및dns-01과제를 모두 사용하는 Certbot -
mod_md,http-01챌린지만 지원
