Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26장. 인증서 및 인증 기관 관리

26.1. 경량의 서브 CA

IdM 설치가 통합 인증서 시스템(CS) 인증 기관(CA)으로 구성된 경우 경량 하위 CA를 생성할 수 있습니다. VPN(가상 사설 네트워크) 게이트웨이와 같은 서비스를 구성하여 하나의 하위 CA에서 발급한 인증서만 허용할 수 있습니다. 동시에 다른 하위 CA 또는 루트 CA에서 발급한 인증서만 수락하도록 다른 서비스를 구성할 수 있습니다.
하위 CA의 중간 인증서를 취소하면 이 하위 CA에서 발급한 모든 인증서가 자동으로 무효화됩니다.
통합 CA를 사용하여 IdM을 설정하는 경우 자동으로 생성된 ipa CA는 인증서 시스템의 루트 CA입니다. 생성하는 모든 하위 CA는 이 루트 CA로 하위됩니다.

26.1.1. 경량 서브 CA 생성

하위 CA 생성에 대한 자세한 내용은 를 참조하십시오.

웹 UI에서 하위 CA 생성

vpn-ca 라는 새 하위 CA를 만들려면 다음을 수행합니다.
  1. Authentication 탭을 열고 10.0.0.1을 선택합니다.
  2. 인증 기관을 선택하고 추가 를 클릭합니다.
  3. CA의 이름 및 주제 DN을 입력합니다.

    그림 26.1. CA 추가

    CA 추가
    주체 DN은 IdM CA 인프라에서 고유해야 합니다.

명령줄에서 하위 CA 생성

vpn-ca 라는 새 하위 CA를 생성하려면 다음을 입력합니다.
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM"
-------------------
Created CA "vpn-ca"
-------------------
  Name: vpn-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=VPN,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
이름
CA의 이름입니다.
권한 ID
CA의 개별 ID가 자동으로 생성됩니다.
제목 DN
제목 고유 이름(DN). 주체 DN은 IdM CA 인프라에서 고유해야 합니다.
발행자 DN
하위 CA 인증서를 발급한 상위 CA. 모든 하위 CA는 IdM 루트 CA의 하위 항목으로 생성됩니다.
새 CA 서명 인증서가 IdM 데이터베이스에 추가되었는지 확인하려면 다음을 실행합니다.
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                                           Trust Attributes
                                                               SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                                      CTu,Cu,Cu
Server-Cert cert-pki-ca                                        u,u,u
auditSigningCert cert-pki-ca                                   u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca                                    u,u,u
subsystemCert cert-pki-ca                                      u,u,u
참고
인증서 시스템 인스턴스가 설치된 경우 새 CA 인증서가 모든 복제본으로 자동으로 전송됩니다.

26.1.2. 경량 서브 CA 제거

하위 CA 삭제에 대한 자세한 내용은 를 참조하십시오.

웹 UI에서 하위 CA 제거

  1. Authentication 탭을 열고 10.0.0.1을 선택합니다.
  2. 인증 기관을 선택합니다.
  3. 제거할 하위 CA를 선택하고 삭제 를 클릭합니다.
  4. 삭제를 클릭하여 확인합니다.

명령줄에서 하위 CA 제거

하위 CA를 삭제하려면 다음을 입력합니다.
[root@ipaserver ~]# ipa ca-del vpn-ca
-------------------
Deleted CA "vpn-ca"
-------------------