Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

24.6. IdM CA에서 사용자 인증서 발급에 인증서 프로필과 ACL 사용

사용자는 CA ACL(인증 기관 액세스 제어 목록)에서 허용된 경우 인증서를 요청할 수 있습니다. 다음 절차에서는 24.4절. “인증서 프로필”24.5절. “인증 기관 ACL 규칙” 에 별도로 설명된 인증서 프로필과 CA ACL을 사용합니다. 인증서 프로필 및 CA ACL 사용에 대한 자세한 내용은 다음 섹션을 참조하십시오.

명령줄에서 사용자에게 인증서 실행

  1. 사용자 인증서에 대한 요청을 처리하기 위한 새 사용자 정의 인증서 프로필을 생성하거나 가져옵니다. 예를 들어 다음과 같습니다. 
    $ ipa certprofile-import certificate_profile --file=certificate_profile.cfg --store=True
  2. 사용자 항목에 대한 인증서 요청을 허용하는 데 사용할 새 CA(인증 기관) ACL을 추가합니다. 예를 들어 다음과 같습니다. 
    $ ipa caacl-add users_certificate_profile --usercat=all
  3. 사용자 정의 인증서 프로필을 CA ACL에 추가합니다. 
    $ ipa caacl-add-profile users_certificate_profile --certprofiles=certificate_profile
  4. 사용자에 대한 인증서 요청을 생성합니다. 예를 들어 OpenSSL을 사용합니다. 
    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout private.key -out cert.csr -subj '/CN=user'
  5. ipa cert-request 명령을 실행하여 IdM CA가 사용자의 새 인증서를 발행하도록 합니다. 
    $ ipa cert-request cert.csr --principal=user --profile-id=certificate_profile
    선택적으로 --ca sub-CA_name 옵션을 명령에 전달하여 루트 CA ipa 대신 하위 CA에서 인증서를 요청합니다.
새로 발행된 인증서가 사용자에게 할당되었는지 확인하려면 ipa user-show 명령을 사용합니다. 
$ ipa user-show user
  User login: user
  ...
  Certificate: MIICfzCCAWcCAQA...
  ...

웹 UI에서 사용자에게 인증서 실행

  1. 사용자 인증서에 대한 요청을 처리하기 위한 새 사용자 정의 인증서 프로필을 생성하거나 가져옵니다. 다음은 명령줄에서만 프로필 가져오기를 수행할 수 있습니다. 예를 들면 다음과 같습니다. 
    $ ipa certprofile-import certificate_profile --file=certificate_profile.txt --store=True
    인증서 프로필에 대한 자세한 내용은 24.4절. “인증서 프로필” 을 참조하십시오.
  2. 웹 UI의 Authentication 탭에서 CA ACL 섹션을 엽니다.

    그림 24.11. 웹 UI의 CA ACL 규칙 관리

    웹 UI의 CA ACL 규칙 관리
    CA(인증 기관) ACL 목록의 상단에 있는 추가 를 클릭하여 사용자 항목에 대한 인증서를 요청할 수 있는 새 CA ACL을 추가합니다.
    1. 열리는 CA ACL 추가 창에서 새 CA ACL에 대한 필요한 정보를 입력합니다.

      그림 24.12. 새 CA ACL 추가

      새 CA ACL 추가
      그런 다음 추가 및 편집 을 클릭하여 CA ACL 구성 페이지로 직접 이동합니다.
    2. CA ACL 구성 페이지의 Profiles 섹션까지 스크롤하고 profiles 목록 상단에 있는 추가 를 클릭합니다.

      그림 24.13. CA ACL에 인증서 프로필 추가

      CA ACL에 인증서 프로필 추가
    3. 프로필을 선택하고 Prospective 열로 이동하여 CA ACL에 사용자 정의 인증서 프로필을 추가합니다.

      그림 24.14. 인증서 프로파일 선택

      인증서 프로파일 선택
      그런 다음 추가 를 클릭합니다.
    4. Permitted로 스크롤하여 CA ACL을 사용자 또는 사용자 그룹과 연결하는 인증서 발행 섹션이 있는지 확인합니다.
      추가 버튼을 사용하여 사용자 또는 그룹을 추가하거나 Anyone 옵션을 선택하여 CA ACL을 모든 사용자와 연결할 수 있습니다.

      그림 24.15. CA ACL에 사용자 추가

      CA ACL에 사용자 추가
    5. Permitted to have certificates issued 섹션에서 CA ACL을 하나 이상의 CA와 연결할 수 있습니다.
      추가 버튼을 사용하여 CA를 추가하거나 Any CA 옵션을 선택하여 CA ACL을 모든 CA와 연결할 수 있습니다.

      그림 24.16. CA ACL에 CA 추가

      CA ACL에 CA 추가
    6. CA ACL 구성 페이지 상단에서 저장 을 클릭하여 CA ACL에 대한 변경 사항을 확인합니다.
  3. 사용자에 대한 새 인증서를 요청합니다.
    1. Identity (ID) 탭과 Users (사용자)에서 인증서가 요청할 사용자를 선택합니다. 사용자 사용자 이름을 클릭하여 사용자 항목 구성 페이지를 엽니다.
    2. 사용자 구성 페이지 상단에서 작업을 클릭한 다음 새 인증서를 클릭합니다.

      그림 24.17. 사용자를 위한 인증서 요청

      사용자를 위한 인증서 요청
    3. 필요한 정보를 입력합니다.

      그림 24.18. 사용자의 인증서 발급

      사용자의 인증서 발급
      그런 다음 이ssue 클릭합니다.
이 후에는 새로 발행된 인증서가 사용자 구성 페이지에 표시됩니다.