Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

59.3. 웹 서버 및 LDAP 서버 인증서 교체

IdM(Identity Management) 시스템 관리자는 IdM 서버에서 실행되는 웹(또는 httpd) 및 LDAP(또는 디렉터리 )서비스의 인증서를 수동으로 교체할 수 있습니다. 예를 들어 certmonger 유틸리티가 인증서를 자동으로 갱신하도록 구성되지 않았거나 인증서가 외부 CA(인증 기관)에서 서명한 경우 이 작업이 필요할 수 있습니다.

이 예제에서는 server.idm.example.com IdM 서버에서 실행되는 서비스에 대한 인증서를 설치합니다. 외부 CA에서 인증서를 가져옵니다.

참고

HTTP 및 LDAP 서비스 인증서의 키 쌍과 제목 이름은 서로 다르므로 각 IdM 서버에서 인증서를 개별적으로 갱신해야 합니다.

사전 요구 사항

  • IdM 서버에 대한 루트 액세스 권한이 있습니다.
  • Directory Manager 암호를 알고 있습니다.
  • 외부 CA의 CA 인증서 체인 ca_certificate_chain_file.crt 를 저장하는 파일에 액세스할 수 있습니다.

절차

  1. ca_certificate_chain_file.crt 에 포함된 인증서를 IdM에 추가 CA 인증서로 설치합니다.

    # ipa-cacert-manage install
  2. ca_certicate_chain_file.crt의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트하십시오.

    # ipa-certupdate
  3. OpenSSL 유틸리티를 사용하여 개인 키 및 CSR(인증서 서명 요청)을 생성합니다.

    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:ipa-ca.idm.example.test" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'

    CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다. CA가 인증서에 서명하고 나면 인증서를 IdM 서버로 가져옵니다.

  4. IdM 서버에서 Apache 웹 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.

    # ipa-server-certinstall -w --pin=password new.key new.crt

    위의 명령에서 다음을 수행합니다.

    • w 옵션은 웹 서버에 인증서를 설치 중임을 지정합니다.
    • pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
  5. 메시지가 표시되면 Directory Manager 암호를 입력합니다.
  6. LDAP 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.

    # ipa-server-certinstall -d --pin=password new.key new.cert

    위의 명령에서 다음을 수행합니다.

    • d 옵션은 LDAP 서버에 인증서를 설치하도록 지정합니다.
    • pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
  7. 메시지가 표시되면 Directory Manager 암호를 입력합니다.
  8. httpd 서비스를 다시 시작하십시오.

    # systemctl restart httpd.service
  9. Directory 서비스를 다시 시작하십시오.

    # systemctl restart dirsrv@IDM.EXAMPLE.COM.service

추가 리소스