Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

49장. Identity Management의 공개 키 인증서

이 장에서는 IdM(Identity Management)에서 사용자, 호스트 및 서비스를 인증하는 데 사용되는 X.509 공개 키 인증서를 설명합니다. X.509 인증서는 인증 외에도 디지털 서명 및 암호화를 통해 개인 정보 보호, 무결성 및 비응답을 제공할 수 있습니다.

인증서에는 다음 정보가 포함됩니다.

  • 인증서가 인증하는 주체입니다.
  • 발급자, 즉 인증서에 서명한 CA입니다.
  • 인증서의 유효성의 시작 및 종료일입니다.
  • 인증서의 유효한 용도입니다.
  • 주체의 공개 키입니다.

공개 키로 암호화된 메시지는 해당 개인 키로만 해독할 수 있습니다. 인증서와 포함된 공개 키는 공개적으로 사용할 수 있지만 사용자, 호스트 또는 서비스는 개인 키 비밀을 유지해야 합니다.

49.1. IdM의 인증 기관

인증 기관은 신뢰 계층에서 작동합니다. 내부 CA(인증 기관)가 있는 IdM 환경에서 모든 IdM 호스트, 사용자 및 서비스는 CA에서 서명한 인증서를 신뢰합니다. 이 루트 CA 이외에 IdM은 루트 CA에서 인증서에 차례로 서명할 수 있는 기능을 부여한 하위 CA를 지원합니다. 일반적으로 이러한 하위 CA가 서명할 수 있는 인증서는 특정 종류의 인증서(예: VPN 인증서)입니다. 마지막으로 IdM은 외부 CA 사용을 지원합니다. 아래 표는 IdM에서 개별 유형의 CA를 사용하는 세부 사항을 보여줍니다.

표 49.1. IdM에서 통합 및 외부 CA 사용 비교

CA 이름설명사용유용한 링크

ipa CA

Dogtag 업스트림 프로젝트를 기반으로 하는 통합 CA

통합 CA는 사용자, 호스트 및 서비스에 대한 인증서를 생성, 취소 및 발급할 수 있습니다.

ipa CA를 사용하여 새 사용자 인증서를 요청하고 클라이언트로 내보내기

IdM 하위 CA

ipa CA에 종속되는 통합 CA

IdM 하위 CA는 ipa CA에서 인증서 서명 기능을 부여한 CA입니다. 이러한 인증서는 VPN 인증서와 같은 특정 종류입니다.

인증서의 하위 집합만 신뢰하도록 애플리케이션 제한

외부 CA

외부 CA는 통합된 IdM CA 또는 하위 CA가 아닌 다른 CA입니다.

IdM 도구를 사용하여 이러한 CA에서 발급한 인증서를 사용자, 서비스 또는 호스트에 추가하고 제거합니다.

RHEL 7 설명서에서 외부 CA에서 발급한 인증서 관리

인증서 관점에서 자체 서명 IdM CA가 서명하고 외부적으로 서명하는 것은 차이가 없습니다.

CA의 역할에는 다음과 같은 목적이 포함됩니다.

  • 디지털 인증서를 발급합니다.
  • 인증서에 서명하면 인증서에 있는 라는 주체가 공개 키를 소유함을 인증합니다. 제목은 사용자, 호스트 또는 서비스일 수 있습니다.
  • CRL(Certificate Revocation Lists) 및 OCSP(Online Certificate Status Protocol)를 통해 인증서를 취소하고 해지할 수 있습니다.

추가 리소스

  • IdM 서버의 지원되는 CA 구성에 대한 자세한 내용은 CA 서비스 계획을 참조하십시오.