22.4. certmonger를 사용하여 서비스에 대한 IdM 인증서 가져오기
IdM 클라이언트에서 실행되는 브라우저와 웹 서비스 간 통신이 안전하고 암호화되도록 하려면 TLS 인증서를 사용합니다. 웹 브라우저가 webserver-ca 하위 CA에서 발급한 인증서를 신뢰하도록 제한하고 기타 IdM 하위 CA는 없는 경우 webserver-ca 하위 CA에서 웹 서비스의 TLS 인증서를 가져옵니다.
IdM 클라이언트에서 실행 중인 서비스의 IdM 인증서(HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM)를 받으려면 certmonger 를 사용하십시오.
certmonger 를 사용하여 인증서를 자동으로 요청한다는 것은 certmonger 가 갱신이 발생할 때 인증서를 관리하고 갱신한다는 것을 의미합니다.
certmonger 가 서비스 인증서를 요청할 때 발생하는 상황을 시각적으로 표현하려면 22.5절. “서비스 인증서를 요청하는 certmonger의 통신 흐름” 을 참조하십시오.
사전 요구 사항
- 웹 서버는 IdM 클라이언트로 등록되어 있습니다.
- 프로시저를 실행 중인 IdM 클라이언트에 대한 루트 액세스 권한이 있습니다.
- 인증서를 요청하는 서비스는 IdM에 사전 존재할 필요가 없습니다.
절차
HTTP 서비스가 실행 중인
my_company.idm.example.comIdM 클라이언트에서HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM-
인증서는 로컬
/etc/pki/tls/certs/httpd.pem파일에 저장됩니다. -
개인 키는 로컬
/etc/pki/tls/private/httpd.key파일에 저장해야 합니다. -
webserver-ca하위 CA는 발급 기관입니다. SubjectAltName에 대한 extensionRequest가my_company.idm.example.com의 DNS 이름을 사용하여 서명 요청에 추가됩니다.# ipa-getcert request -K HTTP/my_company.idm.example.com -k /etc/pki/tls/private/httpd.key -f /etc/pki/tls/certs/httpd.pem -g 2048 -D my_company.idm.example.com -X webserver-ca -C "systemctl restart httpd" New signing request "20190604065735" added.위의 명령에서:
-
ipa-getcert request명령은 인증서를 IdM CA에서 가져올 수 있도록 지정합니다.ipa-getcert request명령은getcert request -c IPA의 바로 가기입니다. -
g옵션은 아직 없는 경우 생성할 키 크기를 지정합니다. -
d 옵션은 요청에 추가할
SubjectAltNameDNS 값을 지정합니다. -
X옵션은 인증서 발행자가ipa가 아닌webserver-ca여야 함을 지정합니다. -
-C옵션은 인증서를 가져온 후httpd서비스를 다시 시작하도록certmonger에 지시합니다.
-
특정 프로필로 인증서를 발행하도록 지정하려면
-T옵션을 사용합니다.
-
-
인증서는 로컬
선택 사항: 요청 상태를 확인하려면 다음을 수행합니다.
# ipa-getcert list -f /etc/pki/tls/certs/httpd.pem Number of certificates and requests being tracked: 3. Request ID '20190604065735': status: MONITORING stuck: no key pair storage: type=FILE,location='/etc/pki/tls/private/httpd.key' certificate: type=FILE,location='/etc/pki/tls/certs/httpd.crt' CA: IPA issuer: CN=WEBSERVER,O=IDM.EXAMPLE.COM [...]출력은 요청이
MONITORING상태에 있음을 보여줍니다. 즉, 인증서를 가져온 것입니다. 키 쌍과 인증서의 위치는 요청된 위치입니다.
