13장. 외부 서명된 CA 인증서 관리
IdM(Identity Management)은 다양한 유형의 CA(인증 기관) 구성을 제공합니다. 통합 CA 또는 외부 CA를 사용하여 IdM을 설치하도록 선택할 수 있습니다. 설치 중에 사용 중인 CA 유형을 지정해야 합니다. 그러나 설치한 후에는 외부 서명된 CA에서 자체 서명된 CA로 이동할 수 있으며 그 반대의 경우도 마찬가지입니다. 또한 자체 서명된 CA가 자동으로 갱신되는 동안 외부 서명된 CA 인증서를 갱신해야 합니다. 외부 서명된 CA 인증서를 관리하는 데 필요한 관련 섹션을 참조하십시오.
외부 서명된 CA를 사용하여 IdM 설치:
- 외부 서명된 CA에서 자체 서명된 CA로 전환합니다.
- 자체 서명된 CA에서 외부 서명된 CA로 전환합니다.
- 외부 서명된 CA 인증서 업데이트.
13.1. 외부에서 서명된 IdM의 CA로 전환
외부에 서명된 IdM(Identity Management) 인증 기관(CA)의 자체 서명된 인증서로 전환하려면 이 절차를 완료합니다. 자체 서명된 CA에서는 CA 인증서 갱신이 자동으로 관리됩니다. 시스템 관리자는 CSR(인증서 서명 요청)을 외부 기관에 제출할 필요가 없습니다.
외부에 서명된 자체 서명된 CA로 전환하면 CA 인증서만 대체됩니다. 이전 CA에서 서명한 인증서는 계속 유효하며 여전히 사용 중입니다. 예를 들어 자체 서명된 CA로 이동한 후에도 LDAP 인증서의 인증서 체인은 변경되지 않고 유지됩니다.
external_CAcertificate >IdM CAcertificate >LDAPcertificate
사전 요구 사항
-
IdM CA 갱신 서버 및 모든 IdM 클라이언트 및 서버에 대한
루트액세스 권한이 있습니다.
절차
IdM CA 갱신 서버에서 CA 인증서를 자체 서명으로 갱신합니다.
# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successful나머지 IdM 서버 및 클라이언트에
root로SSH를 수행합니다. 예를 들어 다음과 같습니다.# ssh root@idmclient01.idm.example.comIdM 클라이언트에서 서버의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다.
[idmclient01 ~]# ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
검증
업데이트가 성공했는지 확인하고 새 CA 인증서가
/etc/ipa/ca.crt파일에 추가되었습니다.[idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]새 CA 인증서가 이전 CA 인증서를 사용하여 나열되므로 출력에 업데이트가 성공한 것으로 표시됩니다.
