23장. 특정 관련 인증서 그룹 무효화를 신속하게
시스템 관리자는 특정 관련 인증서 그룹을 신속하게 무효화하려면 다음을 수행하십시오.
- 특정 IdM(Lightweight Identity Management) 하위 CA에서 발급한 인증서만 신뢰하도록 애플리케이션을 설계합니다. 이후 이러한 인증서를 발급한 IdM(Identity Management) 하위 CA 인증서만 취소하여 이러한 모든 인증서를 무효화할 수 있습니다. IdM에서 경량 하위 CA를 생성하고 사용하는 방법에 대한 자세한 내용은 특정 관련 인증서 그룹의 유효성을 신속하게 평가할 수 있도록 참조하십시오.
To-be-revoked IdM 하위 CA에서 발행한 모든 인증서가 즉시 유효하지 않게 하려면 IdM OCSP 응답자를 사용하도록 이러한 인증서를 사용하는 애플리케이션을 구성합니다. 예를 들어 OCSP 응답자를 사용하도록 Firefox 브라우저를 구성하려면
쿼리 OCSP 응답기 서버가 Firefox 기본 설정에서 인증서의 현재 유효성이 선택되었는지 확인합니다.IdM에서 CRL(인증서 취소 목록)은 4시간마다 업데이트됩니다. IdM 하위 프로세스에서 발행한 모든 인증서를 무효화하려면 IdM 하위 CA 인증서를 취소해야 합니다. 또한 관련 CA ACL을 비활성화하고 IdM 하위 CA 비활성화를 고려하십시오. 하위 CA를 비활성화하면 하위 CA에서 새 인증서를 발행할 수 없지만 하위 CA의 서명 키가 유지되므로 이전에 발급한 인증서에 대해 OCSP(Online Certificate Status Protocol) 응답이 생성됩니다.
환경에서 OCSP를 사용하는 경우 하위 CA를 삭제하지 마십시오. 하위 CA를 삭제하면 하위 CA의 서명 키가 삭제되어 해당 하위 CA에서 발급한 인증서에 대해 OCSP 응답을 프로덕션할 수 없습니다.
하위 CA를 삭제할 때 유일한 시나리오는 동일한 주체 고유 이름(DN)으로 새 하위 CA를 생성하되 새 서명 키를 생성하려는 경우입니다.
23.1. IdM CLI에서 CA ACL 비활성화
IdM 서비스 또는 IdM 서비스 그룹을 폐기하려면 기존 해당 CA ACL을 비활성화하는 것이 좋습니다.
다음 절차에 따라 IdM 클라이언트에서 실행 중인 웹 서버를 제한하고 webserver-ca IdM 하위 CA에서 발행할 인증서를 요청하고 IdM 사용자가 webclient-ca IdM 하위 CA에서 발행하도록 사용자 인증서를 요청하는 TLS_web_client_authentication CA ACL을 비활성화하는 TLS_web_server_authentication CA ACL을 비활성화합니다.
절차
선택 사항: IdM 환경의 모든 CA ACL을 보려면
ipa caacl-find명령을 입력합니다.$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE선택 사항: CA ACL의 세부 정보를 보려면
ipa caacl-show명령을 입력하고 CA ACL 이름을 지정합니다.$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COMCA ACL을 비활성화하려면
ipa caacl-disable명령을 입력하고 CA ACL 이름을 지정합니다.TLS_web_server_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------TLS_web_client_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
이제 활성화된 유일한 CA ACL은 hosts_services_caIPAserviceCert CA ACL입니다.
중요hosts_services_caIPAserviceCertCA ACL 비활성화에 대해 매우 주의하십시오.caIPAserviceCert프로필을 사용하여ipaCA를 사용하는 다른 CA 서버를 부여하지 않고hosts_services_caIPAserviceCert인증서를 비활성화하면 IdMHTTP및LDAP인증서가 갱신되지 않습니다. 만료된 IdMHTTP및LDAP인증서로 인해 IdM 시스템이 실패합니다.
