지원콘솔개발자평가판 시작연락처

13.3. 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트

다음 절차에 따라 외부 CA를 사용하여 CSR(인증서 서명 요청)에 서명하는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신합니다. 이 구성에서 IdM CA 서버는 외부 CA의 하위 CA입니다. 외부 CA는 AD CS(Active Directory 인증서 서버)일 수 있지만 반드시 필요한 것은 아닙니다.

외부 인증 기관이 AD CS인 경우 CSR에서 IdM CA 인증서에 원하는 템플릿을 지정할 수 있습니다. 인증서 템플릿은 인증서 요청이 수신될 때 CA에서 사용하는 정책 및 규칙을 정의합니다. AD의 인증서 템플릿은 IdM의 인증서 프로필에 해당합니다.

OID(Object Identifier)를 통해 특정 AD CS 템플릿을 정의할 수 있습니다. OIDS는 분산 애플리케이션의 데이터 요소, 구문 및 기타 부분을 고유하게 식별하기 위해 다양한 발행 기관에서 발행한 고유한 숫자 값입니다.

또는 특정 AD CS 템플릿을 이름으로 정의할 수 있습니다. 예를 들어 IdM CA가 AD CS에 제출한 CSR에 사용된 기본 프로필 이름은 subCA 입니다.

CSR에서 OID 또는 이름을 지정하여 프로필을 정의하려면 external-ca-profile 옵션을 사용합니다. 자세한 내용은 시스템의 ipa-cacert-manage 도움말 페이지를 참조하십시오.

미리 작성된 인증서 템플릿을 사용하는 것 외에도 AD CS에 사용자 지정 인증서 템플릿을 생성하고 CSR에서 사용할 수도 있습니다.

사전 요구 사항

  • IdM CA 갱신 서버에 대한 루트 액세스 권한이 있습니다.

절차

현재 CA 인증서가 자체 서명되었는지 여부에 관계없이 IdM CA의 인증서를 외부 서명으로 갱신하려면 이 절차를 완료합니다.

  1. 외부 CA에 제출할 CSR을 생성합니다.

    • 외부 CA가 AD CS인 경우 --external-ca-type=ms-cs 옵션을 사용합니다. 기본 subCA 템플릿과 다른 템플릿을 원하는 경우 --external-ca-profile 옵션을 사용하여 지정합니다. 

      ~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
Exporting CA certificate signing request, please wait
The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-cacert-manage command was successful

    • 외부 CA가 AD CS가 아닌 경우: 

      ~]# ipa-cacert-manage renew --external-ca
Exporting CA certificate signing request, please wait
The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
The ipa-cacert-manage command was successful

      출력은 CSR이 생성되었으며 /var/lib/ipa/ca.csr 파일에 저장되어 있음을 보여줍니다.

  2. /var/lib/ipa/ca.csr 에 있는 CSR을 외부 CA에 제출합니다. 이 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.

  3. 발행된 인증서와 권한 있는 Blob에 대해 발행된 CA의 CA 인증서 체인(CA 인증서 체인)을 검색합니다.

    • 외부 CA가 AD CS가 아닌 경우 PEM 파일입니다.

    • 외부 CA가 AD CS인 경우 Base_64 인증서입니다.

      이 프로세스는 모든 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 사용하면 관리자가 필요한 모든 인증서를 다운로드할 수 있습니다.

      외부 CA가 AD CS이고 Microsoft Windows 인증 기관 관리 창을 통해 알려진 템플릿이 있는 CSR을 제출한 경우 AD CS가 인증서를 즉시 발행하고 Save Certificate 대화 상자가 AD CS 웹 인터페이스에 표시되어 발급된 인증서를 저장할 위치를 묻는 메시지가 표시됩니다.

  4. ipa-cacert-manage renew 명령을 다시 실행하여 전체 인증서 체인을 제공하는 데 필요한 모든 CA 인증서 파일을 추가합니다. --external-cert-file 옵션을 여러 번 사용하여 필요한 만큼 파일을 지정합니다. 

    ~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2

  5. 모든 IdM 서버 및 클라이언트에서 서버의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트합니다. 

    [client ~]$ ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

검증

  1. 업데이트가 성공했는지 확인하고 새 CA 인증서가 /etc/ipa/ca.crt 파일에 추가되었습니다. 

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

    새 CA 인증서가 이전 CA 인증서를 사용하여 나열되므로 출력에 업데이트가 성공한 것으로 표시됩니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.