Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

51.2. IdM 사용자 계정으로 로드할 외부 인증서를 변환

이 섹션에서는 외부 인증서가 올바르게 인코딩되고 사용자 항목에 추가하기 전에 포맷되도록 하는 방법을 설명합니다.

사전 요구 사항

  • 인증서가 Active Directory 인증 기관에서 발급되었으며 PEM 인코딩을 사용하는 경우 PEM 파일이 UNIX 형식으로 변환되었는지 확인합니다. 파일을 변환하려면 eponymous 패키지에서 제공하는 dos2unix 유틸리티를 사용합니다.

51.2.1. IdM CLI에서 외부 인증서를 변환하여 IdM 사용자 계정으로 로드

IdM CLI 는 첫 번째 및 마지막 행(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE-----)이 제거된 PEM 인증서만 허용합니다.

절차

  1. 인증서를 PEM 형식으로 변환합니다.

    • 인증서가 DER 형식인 경우:

      $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
    • 파일 이름이 .pfx 및. p12PKCS #12 형식에 있고 인증서, 개인 키 및 기타 데이터가 포함된 경우 openssl pkcs12 유틸리티를 사용하여 인증서를 추출합니다. 메시지가 표시되면 파일에 저장된 개인 키를 보호하는 암호를 입력합니다.

      $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
      Enter Import Password:
  2. 관리자의 자격 증명을 가져옵니다.

    $ kinit admin
  3. 다음 방법 중 하나로 IdM CLI 를 사용하여 사용자 계정에 인증서를 추가합니다.

    • ipa user-add-cert 명령에 문자열을 추가하기 전에 sed 유틸리티를 사용하여 PEM 파일의 첫 번째 및 마지막 행(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE-----)을 제거합니다.

      $ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"
    • 첫 번째 및 마지막 행(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE-----) 없이 인증서 파일의 내용을 ipa user-add-cert 명령에 복사하여 붙여넣습니다.

      $ ipa user-add-cert some_user --certificate=MIIDlzCCAn+gAwIBAgIBATANBgkqhki...
      참고

      첫 번째 및 마지막 행을 먼저 제거하지 않고 인증서가 ipa user-add-cert 명령에 입력으로 포함된 PEM 파일을 전달할 수 없습니다(----- BEGIN CERTIFICATE----- 및 -----END CERTIFICATE-----).

      $ ipa user-add-cert some_user --cert=some_user_cert.pem

      이 명령을 실행하면 "ipa: 오류: Base64 디코딩에 실패했습니다: 잘못된 패딩" 오류 메시지.

  4. 선택적으로 시스템에서 인증서를 수락했는지 확인하려면 다음을 수행하십시오.

    [idm_user@r8server]$ ipa user-show some_user