5.3. IdM의 임의 일련 번호

RHEL 9.1부터 IdM(Identity Management)에는 dogtagpki 11.2.0 이 포함되어 있으며 Random Serial Numbers 버전 3 (RSNv3)을 사용할 수 있습니다. ansible-freeipa ipaserver 역할에는 RHEL 9.3 업데이트가 포함된 ipaserver_random_serial_numbers 변수가 포함됩니다.

RSNv3을 활성화하면 IdM은 범위 관리 없이 PKI에서 인증서 및 요청에 대해 완전히 임의의 일련 번호를 생성합니다. 또한, IdM을 다시 설치하는 경우 RSNv3도 충돌하지 않습니다. RSNv3은 일련 번호에 대해 128비트 임의 값을 사용하므로 각 인증서 일련 번호의 크기는 최대 40자리의 10진수 값입니다. 이렇게 하면 숫자가 효과적으로 임의화됩니다.

RSNv3은 새 IdM CA 설치에만 지원됩니다. ipa-server-install 명령을 사용하여 기본 IdM 서버를 설치할 때 기본적으로 첫 번째 IdM CA를 설치합니다. 그러나 원래 CA 없이 IdM 환경을 설치한 경우 ipa-ca-install 명령을 사용하여 나중에 CA 서비스를 추가할 수 있습니다. RSNv3을 활성화하려면 --random-serial-numbers 옵션과 함께 ipa-server-install 또는 ipa-ca-install 명령을 사용합니다.

활성화된 경우 CA 및 KRA(Key Recovery Authority)를 포함하여 배포에서 모든 PKI(Public-key Infrastructure) 서비스에서 RSNv3을 사용해야 합니다. 기본 CA에서 RSNv3을 자동으로 활성화하기 위해 KRA가 설치될 때 검사가 수행됩니다.