Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

58.3. IdM의 자체 서명된 CA로 외부에서 전환

외부 서명에서 IdM(Identity Management) 인증 기관(CA)의 자체 서명 인증서로 전환하려면 이 절차를 완료합니다. 자체 서명된 CA를 사용하면 CA 인증서 갱신이 자동으로 관리됩니다. 시스템 관리자가 CSR(인증서 서명 요청)을 외부 기관에 제출할 필요가 없습니다.

외부 서명에서 자체 서명된 CA로 전환하면 CA 인증서만 교체됩니다. 이전 CA에서 서명한 인증서는 계속 유효하며 계속 사용됩니다. 예를 들어 자체 서명된 CA로 이동한 후에도 LDAP 인증서의 인증서 체인은 변경되지 않습니다.

external_CA certificate > IdM CA certificate > LDAP certificate

사전 요구 사항

  • IdM CA 갱신 서버에 대한 루트 액세스 권한이 있습니다.
  • IdM 관리자 자격 증명이 있습니다.

절차

  1. IdM CA 갱신 서버에서 자체 서명으로 CA 인증서를 갱신합니다.

    ~]# ipa-cacert-manage renew --self-signed
    Renewing CA certificate, please wait
    CA certificate successfully renewed
    The ipa-cacert-manage command was successful
  2. 모든 IdM 서버 및 클라이언트에서 서버의 인증서를 사용하여 로컬 IdM 인증서 데이터베이스를 업데이트합니다.

    [client ~]$ kinit admin
    [client ~]$ ipa-certupdate
    Systemwide CA database updated.
    Systemwide CA database updated.
    The ipa-certupdate command was successful
  3. 선택적으로 업데이트에 성공했으며 새 CA 인증서가 /etc/ipa/ca.crt 파일에 추가되었는지 확인하려면 다음을 수행합니다.

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
    [...]
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number: 39 (0x27)
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
            Validity
                Not Before: Jul  1 16:32:45 2019 GMT
                Not After : Jul  1 16:32:45 2039 GMT
            Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
    [...]

    새 CA 인증서가 이전 CA 인증서와 함께 나열되므로 출력에 업데이트가 성공했음을 보여줍니다.