Red Hat Training
A Red Hat training course is available for RHEL 8
72장. IdM 복제본에서 웹 서버 및 LDAP 서버 인증서가 아직 만료되지 않은 경우 교체
IdM(Identity Management) 시스템 관리자는 IdM 서버에서 실행되는 웹(또는 httpd
) 및 LDAP(또는 디렉터리 )
서비스의 인증서를 수동으로 교체할 수 있습니다. 예를 들어 인증서가 만료되고 certmonger
유틸리티가 인증서를 자동으로 갱신하지 않거나 인증서가 외부 CA(인증 기관)에 의해 서명되는 경우 이 작업이 필요할 수 있습니다.
이 예제에서는 server.idm.example.com IdM 서버에서 실행되는 서비스에 대한 인증서를 설치합니다. 외부 CA에서 인증서를 가져옵니다.
HTTP 및 LDAP 서비스 인증서의 키 쌍과 제목 이름은 서로 다르므로 각 IdM 서버에서 인증서를 개별적으로 갱신해야 합니다.
사전 요구 사항
-
IdM 서버에 복제 계약이 있는 토폴로지의 다른 하나 이상의 IdM 복제본에서는 웹 및 LDAP 인증서가 계속 유효합니다.
ipa-server-certinstall
명령에 대한 사전 요구 사항입니다. 명령에는 다른 IdM 복제본과 통신하려면TLS
연결이 필요합니다. 그러나 유효하지 않은 인증서에서는 이러한 연결을 설정할 수 없으며ipa-server-certinstall
명령이 실패했습니다. 이 경우 전체 IdM 배포에 만료된 경우 웹 서버 및 LDAP 서버 인증서 교체를 참조하십시오. -
IdM 서버에 대한
루트
액세스 권한이 있습니다. -
Directory Manager
암호를 알고 있습니다. - 외부 CA의 CA 인증서 체인 ca_certificate_chain_file.crt 를 저장하는 파일에 액세스할 수 있습니다.
절차
ca_certificate_chain_file.crt 에 포함된 인증서를 IdM에 추가 CA 인증서로 설치합니다.
# ipa-cacert-manage install
ca_certicate_chain_file.crt의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트하십시오.
# ipa-certupdate
OpenSSL
유틸리티를 사용하여 개인 키 및 CSR(인증서 서명 요청)을 생성합니다.$ openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:server.idm.example.com" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'
CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다. CA가 인증서에 서명하고 나면 인증서를 IdM 서버로 가져옵니다.
IdM 서버에서 Apache 웹 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.
# ipa-server-certinstall -w --pin=password new.key new.crt
위의 명령에서 다음을 수행합니다.
-
w 옵션은
웹 서버에 인증서를 설치 중임을 지정합니다. -
pin
옵션은
개인 키를 보호하는 암호를 지정합니다.
-
-
메시지가 표시되면
Directory Manager
암호를 입력합니다. LDAP 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.
# ipa-server-certinstall -d --pin=password new.key new.cert
위의 명령에서 다음을 수행합니다.
-
d 옵션은
LDAP 서버에 인증서를 설치하도록 지정합니다. -
pin
옵션은
개인 키를 보호하는 암호를 지정합니다.
-
-
메시지가 표시되면
Directory Manager
암호를 입력합니다. httpd
서비스를 다시 시작하십시오.# systemctl restart httpd.service
Directory
서비스를 다시 시작하십시오.# systemctl restart dirsrv@IDM.EXAMPLE.COM.service
서버에서 하위 CA가 제거되거나 교체된 경우 클라이언트를 업데이트합니다.
# ipa-certupdate
추가 리소스
- IdM에서 작동하도록 인증서 형식 변환
-
ipa-server-certinstall(1) 도움말
페이지