21.3. 인증서 RHEL 시스템 역할을 사용하여 IdM CA에서 새 인증서 요청
인증서 시스템 역할을 사용하면 통합 CA(인증 기관)가 있는 IdM 서버를 사용하는 동안 anible-core 를 사용하여 인증서를 발행할 수 있습니다. 따라서 IdM을 CA로 사용할 때 여러 시스템의 인증서 신뢰 체인을 효율적이고 일관되게 관리할 수 있습니다.
이 프로세스는 certmonger 공급자를 사용하고 getcert 명령을 통해 인증서를 요청합니다.
사전 요구 사항
- 컨트롤 노드 및 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.--- - hosts: managed-node-01.example.com roles: - rhel-system-roles.certificate vars: certificate_requests: - name: mycert dns: www.example.com principal: HTTP/www.example.com@EXAMPLE.COM ca: ipa-
name매개 변수를 원하는 인증서 이름(예:mycert)으로 설정합니다. -
dns매개변수를 인증서에 포함할 도메인으로 설정합니다(예:www.example.com). -
principal매개변수를 설정하여HTTP/www.example.com@EXAMPLE.COM와 같은 Kerberos 보안 주체를 지정합니다. -
ca매개 변수를ipa로 설정합니다.
기본적으로
certmonger는 만료되기 전에 인증서를 자동으로 갱신합니다. Ansible 플레이북의auto_renew매개변수를no로 설정하여 비활성화할 수 있습니다.-
플레이북 구문을 확인합니다.
$ ansible-playbook --syntax-check ~/playbook.yml이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
$ ansible-playbook ~/playbook.yml
추가 리소스
-
/usr/share/ansible/roles/rhel-system-roles.certificate/README.md파일 -
/usr/share/doc/rhel-system-roles/certificate/directory
