Red Hat Summit6장. 로컬 인증서를 사용하여 스마트 카드 인증 구성
로컬 인증서를 사용하여 스마트 카드 인증을 구성하려면 다음을 수행합니다.
- 호스트가 도메인에 연결되지 않았습니다.
- 이 호스트에서 스마트 카드로 인증하려고 합니다.
- 스마트 카드 인증을 사용하여 SSH 액세스를 구성하려고 합니다.
-
authselect를 사용하여 스마트 카드를 구성하려고 합니다.
이 시나리오를 수행하려면 다음 구성을 사용합니다.
스마트 카드로 인증하려는 사용자에 대한 사용자 인증서를 가져옵니다. 인증서는 도메인에서 사용되는 신뢰할 수 있는 인증 기관(인증 기관)에 의해 생성되어야 합니다.
인증서를 가져올 수 없는 경우 테스트를 위해 로컬 인증 기관에서 서명한 사용자 인증서를 생성할 수 있습니다.
- 인증서와 개인 키를 스마트 카드에 저장합니다.
- SSH 액세스를 위한 스마트 카드 인증을 구성합니다.
호스트가 도메인의 일부일 수 있는 경우 호스트를 도메인에 추가하고 Active Directory 또는 Identity Management Certification Authority에서 생성된 인증서를 사용합니다.
스마트 카드의 IdM 인증서를 생성하는 방법에 대한 자세한 내용은 스마트 카드 인증을 위한 ID 관리 구성을 참조하십시오.
사전 요구 사항
Authselect가 설치됨
authselect 툴은 Linux 호스트에서 사용자 인증을 구성하고 이를 사용하여 스마트 카드 인증 매개 변수를 구성할 수 있습니다. authselect에 대한 자세한 내용은 authselect 설명을 참조하십시오.
RHEL 9에서 지원하는 스마트 카드 또는 USB 장치
자세한 내용은 RHEL9의 스마트 카드 지원을 참조하십시오.
6.1. 로컬 인증서 생성
다음 작업을 수행하려면 다음 절차를 따르십시오.
- OpenSSL 인증 기관 생성
- 인증서 서명 요청 생성
다음 단계는 테스트 목적으로만 사용됩니다. 로컬 자체 서명 인증 기관에서 생성한 인증서는 AD, IdM 또는 RHCS 인증 기관 사용만큼 안전하지 않습니다. 호스트가 도메인에 포함되지 않은 경우에도 엔터프라이즈 인증 기관에서 생성한 인증서를 사용해야 합니다.
절차
인증서를 생성할 수 있는 디렉터리를 생성합니다. 예를 들면 다음과 같습니다.
mkdir /tmp/ca cd /tmp/ca
# mkdir /tmp/ca # cd /tmp/caCopy to Clipboard Copied! 인증서를 설정합니다(이 텍스트를
ca디렉터리의 명령행에 복사).cat > ca.cnf <<EOF [ ca ] default_ca = CA_default [ CA_default ] dir = . database = \$dir/index.txt new_certs_dir = \$dir/newcerts certificate = \$dir/rootCA.crt serial = \$dir/serial private_key = \$dir/rootCA.key RANDFILE = \$dir/rand default_days = 365 default_crl_days = 30 default_md = sha256 policy = policy_any email_in_dn = no name_opt = ca_default cert_opt = ca_default copy_extensions = copy [ usr_cert ] authorityKeyIdentifier = keyid, issuer [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always basicConstraints = CA:true keyUsage = critical, digitalSignature, cRLSign, keyCertSign [ policy_any ] organizationName = supplied organizationalUnitName = supplied commonName = supplied emailAddress = optional [ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = Example OU = Example Test CN = Example Test CA EOF
# cat > ca.cnf <<EOF [ ca ] default_ca = CA_default [ CA_default ] dir = . database = \$dir/index.txt new_certs_dir = \$dir/newcerts certificate = \$dir/rootCA.crt serial = \$dir/serial private_key = \$dir/rootCA.key RANDFILE = \$dir/rand default_days = 365 default_crl_days = 30 default_md = sha256 policy = policy_any email_in_dn = no name_opt = ca_default cert_opt = ca_default copy_extensions = copy [ usr_cert ] authorityKeyIdentifier = keyid, issuer [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always basicConstraints = CA:true keyUsage = critical, digitalSignature, cRLSign, keyCertSign [ policy_any ] organizationName = supplied organizationalUnitName = supplied commonName = supplied emailAddress = optional [ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = Example OU = Example Test CN = Example Test CA EOFCopy to Clipboard Copied! 다음 디렉터리를 생성합니다.
mkdir certs crl newcerts
# mkdir certs crl newcertsCopy to Clipboard Copied! 다음 파일을 생성합니다.
touch index.txt crlnumber index.txt.attr
# touch index.txt crlnumber index.txt.attrCopy to Clipboard Copied! 일련 파일에 01을 작성합니다.
echo 01 > serial
# echo 01 > serialCopy to Clipboard Copied! 이 명령은 일련 파일에 숫자 01을 씁니다. 이는 인증서의 일련 번호입니다. 이 CA에서 릴리스되는 새 인증서마다 번호가 하나씩 증가합니다.
OpenSSL 루트 CA 키를 생성합니다.
openssl genrsa -out rootCA.key 2048
# openssl genrsa -out rootCA.key 2048Copy to Clipboard Copied! 자체 서명된 루트 인증 기관 인증서를 생성합니다.
openssl req -batch -config ca.cnf \ -x509 -new -nodes -key rootCA.key -sha256 -days 10000 \ -set_serial 0 -extensions v3_ca -out rootCA.crt
# openssl req -batch -config ca.cnf \ -x509 -new -nodes -key rootCA.key -sha256 -days 10000 \ -set_serial 0 -extensions v3_ca -out rootCA.crtCopy to Clipboard Copied! 사용자 이름의 키를 생성합니다.
openssl genrsa -out example.user.key 2048
# openssl genrsa -out example.user.key 2048Copy to Clipboard Copied! 이 키는 안전하지 않은 로컬 시스템에서 생성되므로 키가 카드에 저장되어 있을 때 시스템에서 키를 제거합니다.
또한 스마트 카드에서 직접 키를 생성할 수 있습니다. 이렇게하려면 스마트 카드 제조업체가 만든 지침을 따르십시오.
인증서 서명 요청 구성 파일을 생성합니다(이 텍스트를 ca 디렉터리의 명령줄에 복사).
cat > req.cnf <<EOF [ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = Example OU = Example Test CN = testuser [ req_exts ] basicConstraints = CA:FALSE nsCertType = client, email nsComment = "testuser" subjectKeyIdentifier = hash keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, emailProtection, msSmartcardLogin subjectAltName = otherName:msUPN;UTF8:testuser@EXAMPLE.COM, email:testuser@example.com EOF
# cat > req.cnf <<EOF [ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = Example OU = Example Test CN = testuser [ req_exts ] basicConstraints = CA:FALSE nsCertType = client, email nsComment = "testuser" subjectKeyIdentifier = hash keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, emailProtection, msSmartcardLogin subjectAltName = otherName:msUPN;UTF8:testuser@EXAMPLE.COM, email:testuser@example.com EOFCopy to Clipboard Copied! example.user 인증서에 대한 인증서 서명 요청을 생성합니다.
openssl req -new -nodes -key example.user.key \ -reqexts req_exts -config req.cnf -out example.user.csr
# openssl req -new -nodes -key example.user.key \ -reqexts req_exts -config req.cnf -out example.user.csrCopy to Clipboard Copied! 새 인증서를 구성합니다. 만료 기간은 1년으로 설정됩니다.
openssl ca -config ca.cnf -batch -notext \ -keyfile rootCA.key -in example.user.csr -days 365 \ -extensions usr_cert -out example.user.crt
# openssl ca -config ca.cnf -batch -notext \ -keyfile rootCA.key -in example.user.csr -days 365 \ -extensions usr_cert -out example.user.crtCopy to Clipboard Copied!
이 시점에서 인증 기관 및 인증서가 성공적으로 생성되고 스마트 카드로 가져올 준비가되었습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}