12장. IdM CA 갱신 서버 사용
12.1. IdM CA 갱신 서버에 대한 설명
CA(인증 기관)를 사용하는 IdM(Identity Management) 배포에서 CA 갱신 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다. 이를 통해 강력한 IdM 배포를 수행할 수 있습니다.
IdM 시스템 인증서는 다음과 같습니다.
-
IdM CA
인증서 -
OCSP
서명 인증서 -
IdM CA 하위 시스템
인증서 -
IdM CA 감사 서명
인증서 -
IdM 갱신 에이전트
(RA) 인증서 -
KRA
전송 및 스토리지 인증서
시스템 인증서를 특징으로 설정하는 것은 해당 키가 모든 CA 복제본에서 공유된다는 것입니다. 대조적으로 IdM 서비스 인증서(예: LDAP
,HTTP
및 PKINIT
인증서)에는 서로 다른 IdM CA 서버에서 키 쌍 및 제목 이름이 다릅니다.
IdM 토폴로지에서는 기본적으로 첫 번째 IdM CA 서버는 CA 갱신 서버입니다.
업스트림 설명서에서 IdM CA는 Dogtag
라고 합니다.
CA 갱신 서버의 역할
IdM 배포에 IdM CA
,IdM CA 하위 시스템
및 IdM RA
인증서가 중요합니다. 각 인증서는 /etc/pki/pki-tomcat/
디렉터리에 있는 NSS 데이터베이스에 저장되고 LDAP 데이터베이스 항목으로 저장됩니다. LDAP에 저장된 인증서는 NSS 데이터베이스에 저장된 인증서와 일치해야 합니다. 일치하지 않는 경우 IdM 프레임워크와 IdM CA 간에 인증 오류가 발생하고 IdM CA와 LDAP 간에 인증 오류가 발생합니다.
모든 IdM CA 복제본에는 모든 시스템 인증서에 대한 추적 요청이 있습니다. 통합 CA가 있는 IdM 배포에 CA 갱신 서버가 없는 경우 각 IdM CA 서버는 시스템 인증서 갱신을 독립적으로 요청합니다. 이로 인해 다양한 시스템 인증서 및 인증 오류가 발생하는 다른 CA 복제본이 발생합니다.
하나의 CA 복제본을 갱신 서버로 지정하면 필요에 따라 시스템 인증서를 정확히 한 번 갱신할 수 있으므로 인증 오류가 발생하지 않습니다.
CA 복제본에서 certmonger
서비스의 역할
모든 IdM CA 복제본에서 실행되는 certmonger
서비스는 dogtag-ipa-ca-renew-agent
갱신 도우미를 사용하여 IdM 시스템 인증서를 추적합니다. 갱신 도우미 프로그램은 CA 갱신 서버 구성을 읽습니다. CA 갱신 서버가 아닌 각 CA 복제본에서 갱신 도우미는 ca_renewal
LDAP 항목에서 최신 시스템 인증서를 검색합니다. 정확히 certmonger
갱신 시도가 발생할 때 발생하는 결정적이지 않기 때문에 dogtag-ipa-ca-renew-agent
도우미는 CA 갱신 서버가 인증서를 실제로 갱신하기 전에 시스템 인증서를 업데이트하려고 하는 경우가 있습니다. 이 경우 이전의 곧 만료되는 인증서가 CA 복제본의 certmonger
서비스로 반환됩니다. certmonger
서비스를 통해 이미 데이터베이스에 저장된 인증서와 동일한 인증서이며 CA 갱신 서버에서 업데이트된 인증서를 검색할 수 있을 때까지 개별 시도 사이에 일정 지연으로 인증서를 갱신하려고 합니다.
IdM CA 갱신 서버의 올바른 기능
포함된 CA가 있는 IdM 배포는 IdM CA와 함께 설치된 IdM 배포 또는 IdM CA 서버가 나중에 설치된 IdM 배포입니다. 포함된 CA가 포함된 IdM 배포에는 항상 하나의 CA 복제본이 갱신 서버로 구성되어 있어야 합니다. 갱신 서버는 온라인 상태여야 하며, 다른 서버와 함께 올바르게 복제해야 합니다.
ipa server-del
,ipa-replica-manage del
,ipa-csreplica-manage del
또는 ipa-server-install --uninstall
명령을 사용하여 현재 CA 갱신 서버가 삭제되면 다른 CA 복제본이 CA 갱신 서버로 자동으로 할당됩니다. 이 정책은 갱신 서버 구성이 유효한 상태로 유지됩니다.
이 정책은 다음 상황을 다루지 않습니다.
오프라인 갱신 서버
갱신 서버가 연장된 기간 동안 오프라인 상태인 경우 갱신 기간이 누락될 수 있습니다. 이 경우 인증서가 만료될 때까지 모든 갱신 CA 서버가 현재 시스템 인증서를 다시 설치합니다. 이 경우 만료된 인증서도 다른 인증서에 대해 갱신 오류가 발생할 수 있으므로 IdM 배포가 중단됩니다.
복제 문제
갱신 서버 및 기타 CA 복제본 간에 복제 문제가 있을 수 있지만 다른 CA 복제본은 만료되기 전에 업데이트된 인증서를 검색하지 못할 수 있습니다.
이러한 상황을 방지하려면 복제 계약이 올바르게 작동하는지 확인하십시오. 자세한 내용은 RHEL 7 Linux 도메인 ID, 인증 및 정책 가이드의 일반 또는 특정 복제 문제 해결 지침을 참조하십시오.