Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

58장. IdM CA 갱신 서버 사용

58.1. IdM CA 갱신 서버 설명

임베디드 CA(인증 기관)를 사용하는 IdM(Identity Management) 배포에서 CA 갱신 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다. 강력한 IdM 배포를 보장합니다.

IdM 시스템 인증서는 다음과 같습니다.

  • IdM CA 인증서
  • OCSP 서명 인증서
  • IdM CA 하위 시스템 인증서
  • IdM CA 감사 서명 인증서
  • IdM 갱신 에이전트 (RA) 인증서
  • KRA 전송 및 스토리지 인증서

시스템 인증서의 특징화는 해당 키를 모든 CA 복제본에서 공유한다는 것입니다. 반대로 IdM 서비스 인증서(예: LDAP,HTTPPKINIT 인증서)에는 다양한 IdM CA 서버의 키 쌍과 주체 이름이 다릅니다.

IdM 토폴로지에서 기본적으로 첫 번째 IdM CA 서버는 CA 갱신 서버입니다.

참고

업스트림 설명서에서 IdM CA는 Dogtag 라고 합니다.

CA 갱신 서버의 역할

IdM CA,IdM CA 하위 시스템IdM RA 인증서는 IdM 배포에 중요합니다. 각 인증서는 /etc/pki/pki-tomcat/ 디렉터리 및 LDAP 데이터베이스 항목의 NSS 데이터베이스에 저장됩니다. LDAP에 저장된 인증서는 NSS 데이터베이스에 저장된 인증서와 일치해야 합니다. 일치하지 않는 경우 IdM 프레임워크와 IdM CA와 IdM CA와 IdM CA 간에 인증 오류가 발생합니다.

모든 IdM CA 복제본에는 모든 시스템 인증서에 대한 요청 추적이 있습니다. 통합 CA를 사용한 IdM 배포에 CA 갱신 서버가 없는 경우 각 IdM CA 서버는 시스템 인증서 갱신을 독립적으로 요청합니다. 이로 인해 서로 다른 CA 복제본이 다양한 시스템 인증서 및 인증 실패가 발생합니다.

갱신 서버로 하나의 CA 복제본을 지정하면 시스템 인증서가 필요한 경우 정확히 한 번만 갱신할 수 있으므로 인증 실패를 방지할 수 있습니다.

CA 복제본에서 certmonger 서비스의 역할

모든 IdM CA 복제본에서 실행되는 certmonger 서비스는 dogtag-ipa-ca-renew-agent 갱신 도우미를 사용하여 IdM 시스템 인증서를 추적합니다. 갱신 도우미 프로그램은 CA 갱신 서버 구성을 읽습니다. CA 갱신 서버가 아닌 각 CA 복제본에서 갱신 도우미는 ca_renewal LDAP 항목에서 최신 시스템 인증서를 검색합니다. 정확히 certmonger 갱신 시도가 발생하는 경우 결정적이지 않은 것으로 인해 dogtag-ipa-ca-renew-agent 도우미는 CA 갱신 서버가 실제로 인증서를 갱신하기 전에 시스템 인증서를 업데이트하려고 시도하는 경우가 있습니다. 이 경우 CA 복제본의 certmonger 서비스로 이전의 곧 만료 인증서가 반환됩니다. 데이터베이스에 이미 저장된 인증서가 동일한 인증서임을 인식하는 certmonger 서비스는 CA 갱신 서버에서 업데이트된 인증서를 검색할 수 있을 때까지 개별 시도 간에 몇 가지 지연으로 인증서를 갱신합니다.

IdM CA 갱신 서버의 올바른 기능

포함된 CA가 포함된 IdM 배포는 IdM CA와 함께 또는 나중에 IdM CA 서버가 설치된 IdM 배포입니다. 포함된 CA가 포함된 IdM 배포에는 항상 정확히 하나의 CA 복제본이 갱신 서버로 구성되어 있어야 합니다. 갱신 서버는 온라인 상태이며 완전히 작동해야 하며 다른 서버와 올바르게 복제해야 합니다.

현재 CA 갱신 서버가 ipa server-del, ipa-replica- manage del, ipa- csreplica-manage del 또는 ipa- server-install --uninstall 명령을 사용하여 삭제되는 경우 다른 CA 복제본이 CA 갱신 서버로 자동으로 할당됩니다. 이 정책은 갱신 서버 구성이 유효한 상태로 유지됩니다.

이 정책은 다음 상황을 다루지 않습니다.

  • 오프라인 갱신 서버

    갱신 서버가 연장된 기간 동안 오프라인 상태인 경우 갱신 창이 누락될 수 있습니다. 이 경우 모든 업데이트되지 않은 CA 서버는 인증서가 만료될 때까지 현재 시스템 인증서를 다시 설치합니다. 이 경우 만료된 인증서 한 개도 다른 인증서에 대해 갱신 실패할 수 있으므로 IdM 배포가 중단됩니다.

    이러한 상황을 방지하려면 현재 갱신 서버가 오프라인 상태이고 연장된 기간 동안 사용할 수 없는 경우 새 CA 갱신 서버를 수동으로 할당하는 것이 좋습니다.

  • 복제 문제

    갱신 서버와 기타 CA 복제본 간에 복제 문제가 있는 경우 갱신이 성공할 수 있지만 다른 CA 복제본은 만료되기 전에 업데이트된 인증서를 검색하지 못할 수 있습니다.

    이러한 상황을 방지하기 위해 복제 계약이 올바르게 작동하는지 확인합니다. 자세한 내용은 RHEL 7 Linux 도메인 ID, 인증 및 정책 가이드의 일반 또는 특정 복제 문제 해결 지침을 참조하십시오.