Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

58.4. 외부 서명 인증서를 사용하여 IdM CA 갱신 서버 갱신

이 섹션에서는 CSR(인증서 서명 요청)에 서명하기 위해 외부 CA를 사용하여 IdM(Identity Management) CA(인증 기관) 인증서를 갱신하는 방법을 설명합니다. 이 구성에서 IdM CA 서버는 외부 CA의 하위 CA입니다. 외부 CA는 Active Directory Certificate Server(ADPS)일 수 있지만 반드시 필요하지는 않습니다.

외부 인증 기관이 AD CS인 경우 CSR에서 IdM CA 인증서에 사용할 템플릿을 지정할 수 있습니다. 인증서 템플릿은 인증서 요청이 수신될 때 CA에서 사용하는 정책과 규칙을 정의합니다. AD의 인증서 템플릿은 IdM의 인증서 프로필에 해당합니다.

OID(Object Identifier)로 특정 ADVC 템플릿을 정의할 수 있습니다. OID는 분산된 애플리케이션의 데이터 요소, 구문 및 기타 부분을 고유하게 식별하기 위해 다양한 발행 기관에서 발행한 고유한 숫자 값입니다.

또는 특정 ADsu 템플릿을 이름으로 정의할 수도 있습니다. 예를 들어 IdM CA에서 ADVC로 제출한 CSR에서 사용되는 default 프로필의 이름은 subCA 입니다.

CSR에서 OID 또는 이름을 지정하여 프로필을 정의하려면 external-ca-profile 옵션을 사용합니다. 자세한 내용은 ipa-cacert-manage 도움말 페이지를 참조하십시오.

준비된 인증서 템플릿을 사용하는 것 외에도 AD CS에 사용자 지정 인증서 템플릿을 생성하여 CSR에서 사용할 수도 있습니다.

사전 요구 사항

  • IdM CA 갱신 서버에 대한 루트 액세스 권한이 있습니다.
  • IdM 관리자 자격 증명이 있습니다.

절차

현재 CA 인증서가 자체 서명되었는지 또는 외부 서명인지 여부에 관계없이 IdM CA의 인증서를 외부 서명으로 갱신하려면 이 절차를 완료합니다.

  1. 외부 CA에 제출할 CSR을 생성합니다.

    • 외부 CA가 AD CS인 경우 --external-ca-type=ms-cs 옵션을 사용합니다. 기본 subCA 템플릿과 다른 템플릿을 원하는 경우 --external-ca-profile 옵션을 사용하여 지정합니다.

      ~]# ipa-cacert-manage renew --external-ca --external-ca-type=ms-cs [--external-ca-profile=PROFILE]
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful
    • 외부 CA가 AD가 아닌 경우:

      ~]# ipa-cacert-manage renew --external-ca
      Exporting CA certificate signing request, please wait
      The next step is to get /var/lib/ipa/ca.csr signed by your CA and re-run ipa-cacert-manage as:
      ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
      The ipa-cacert-manage command was successful

      출력은 CSR이 생성되었으며 /var/lib/ipa/ca.csr 파일에 저장되어 있음을 보여줍니다.

  2. /var/lib/ipa/ca.csr 에 있는 CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다.
  3. 다음과 같은 기본 64 인코딩 Blob에서 발급된 CA의 발급된 인증서 및 CA 인증서 체인을 검색합니다.

    • 외부 CA가 AD CS가 아닌 경우 PEM 파일.
    • 외부 CA가 AD CS인 경우 Base_64 인증서입니다.

      프로세스는 각 인증서 서비스에 따라 다릅니다. 일반적으로 웹 페이지 또는 알림 이메일의 다운로드 링크를 통해 관리자는 필요한 모든 인증서를 다운로드할 수 있습니다.

      외부 CA가 AD CS이고 Microsoft Windows Certification Authority 관리 창을 통해 알려진 템플릿이 있는 CSR을 제출한 경우 ADsu는 인증서를 즉시 발급하고 Save Certificate(인증서 저장) 대화 상자가 AD OSD 웹 인터페이스에 표시되며, 발급된 인증서를 저장할 위치를 묻는 메시지가 표시됩니다.

  4. ipa-cacert-manage renew 명령을 다시 실행하여 전체 인증서 체인을 제공하는 데 필요한 모든 CA 인증서 파일을 추가합니다. --external-cert-file 옵션을 여러 번 사용하여 필요한 만큼 파일을 지정합니다.

    ~]# ipa-cacert-manage renew --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate_1 --external-cert-file=/path/to/external_ca_certificate_2
  5. 모든 IdM 서버 및 클라이언트에서 서버의 인증서를 사용하여 로컬 IdM 인증서 데이터베이스를 업데이트합니다.

    [client ~]$ kinit admin
    [client ~]$ ipa-certupdate
    Systemwide CA database updated.
    Systemwide CA database updated.
    The ipa-certupdate command was successful
  6. 선택적으로 업데이트에 성공했으며 새 CA 인증서가 /etc/ipa/ca.crt 파일에 추가되었는지 확인하려면 다음을 수행합니다.

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
    [...]
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number: 39 (0x27)
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
            Validity
                Not Before: Jul  1 16:32:45 2019 GMT
                Not After : Jul  1 16:32:45 2039 GMT
            Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
    [...]

    새 CA 인증서가 이전 CA 인증서와 함께 나열되므로 출력에 업데이트가 성공했음을 보여줍니다.