Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
26장. 인증서 및 인증 기관 관리
26.1. 경량의 서브 CA
IdM 설치가 통합 인증서 시스템(CS) 인증 기관(CA)으로 구성된 경우 경량 하위 CA를 생성할 수 있습니다. VPN(가상 사설 네트워크) 게이트웨이와 같은 서비스를 구성하여 하나의 하위 CA에서 발급한 인증서만 허용할 수 있습니다. 동시에 다른 하위 CA 또는 루트 CA에서 발급한 인증서만 수락하도록 다른 서비스를 구성할 수 있습니다.
하위 CA의 중간 인증서를 취소하면 이 하위 CA에서 발급한 모든 인증서가 자동으로 무효화됩니다.
통합 CA를 사용하여 IdM을 설정하는 경우 자동으로 생성된
ipa
CA는 인증서 시스템의 루트 CA입니다. 생성하는 모든 하위 CA는 이 루트 CA로 하위됩니다.
26.1.1. 경량 서브 CA 생성
하위 CA 생성에 대한 자세한 내용은 를 참조하십시오.
웹 UI에서 하위 CA 생성
vpn-ca 라는 새 하위 CA를 만들려면 다음을 수행합니다.
- Authentication 탭을 열고 10.0.0.1을 선택합니다.
- 인증 기관을 선택하고 추가 를 클릭합니다.
- CA의 이름 및 주제 DN을 입력합니다.
그림 26.1. CA 추가
주체 DN은 IdM CA 인프라에서 고유해야 합니다.
명령줄에서 하위 CA 생성
vpn-ca 라는 새 하위 CA를 생성하려면 다음을 입력합니다.
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM" ------------------- Created CA "vpn-ca" ------------------- Name: vpn-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=VPN,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
- 이름
- CA의 이름입니다.
- 권한 ID
- CA의 개별 ID가 자동으로 생성됩니다.
- 제목 DN
- 제목 고유 이름(DN). 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
- 발행자 DN
- 하위 CA 인증서를 발급한 상위 CA. 모든 하위 CA는 IdM 루트 CA의 하위 항목으로 생성됩니다.
새 CA 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인하려면 다음을 실행합니다.
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
caSigningCert cert-pki-ca CTu,Cu,Cu
Server-Cert cert-pki-ca u,u,u
auditSigningCert cert-pki-ca u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca u,u,u
subsystemCert cert-pki-ca u,u,u
참고
인증서 시스템 인스턴스가 설치된 경우 새 CA 인증서가 모든 복제본으로 자동으로 전송됩니다.
26.1.2. 경량 서브 CA 제거
하위 CA 삭제에 대한 자세한 내용은 를 참조하십시오.
웹 UI에서 하위 CA 제거
- Authentication 탭을 열고 10.0.0.1을 선택합니다.
- 인증 기관을 선택합니다.
- 제거할 하위 CA를 선택하고 삭제 를 클릭합니다.
- 삭제를 클릭하여 확인합니다.
명령줄에서 하위 CA 제거
하위 CA를 삭제하려면 다음을 입력합니다.
[root@ipaserver ~]# ipa ca-del vpn-ca ------------------- Deleted CA "vpn-ca" -------------------