Red Hat Training

A Red Hat training course is available for RHEL 8

76장. certmonger를 사용하여 서비스에 대한 IdM 인증서 가져오기

76.1. certmonger 개요

IdM(Identity Management)은 통합 IdM CA(인증 기관)와 함께 설치되면 certmonger 서비스를 사용하여 시스템 및 서비스 인증서를 추적하고 갱신합니다. 인증서가 만료 날짜에 도달하면 certmonger 는 다음을 통해 갱신 프로세스를 관리합니다.

  • 원래 요청에 제공된 옵션을 사용하여 CSR(인증서 서명 요청)을 다시 생성합니다.
  • IdM API cert-request 명령을 사용하여 IdM CA에 CSR을 제출합니다.
  • IdM CA에서 인증서를 수신합니다.
  • 원래 요청으로 지정된 경우 pre-save 명령을 실행합니다.
  • 업데이트 요청에 지정된 위치에 새 인증서 설치: NSS 데이터베이스 또는 파일.
  • 원래 요청에 의해 지정된 경우 post-save 명령을 실행합니다. 예를 들어 post-save 명령은 certmonger 에 관련 서비스를 재시작하도록 지시하여 서비스에서 새 인증서를 선택하도록 할 수 있습니다.

인증서 certmonger 트랙 유형

인증서를 시스템 및 서비스 인증서로 나눌 수 있습니다.

서비스 인증서(예: HTTP,LDAPPKINIT)와 달리, 서로 다른 서버에 키 쌍과 주체 이름이 다르면 IdM 시스템 인증서 및 해당 키는 모든 CA 복제본에서 공유됩니다. IdM 시스템 인증서는 다음과 같습니다.

  • IdM CA 인증서
  • OCSP 서명 인증서
  • IdM CA 하위 시스템 인증서
  • IdM CA 감사 서명 인증서
  • IdM 갱신 에이전트 (RA) 인증서
  • KRA 전송 및 스토리지 인증서

certmonger 서비스는 통합된 CA를 사용하여 IdM 환경을 설치하는 동안 요청된 IdM 시스템 및 서비스 인증서를 추적합니다. 또한 cert monger 는 IdM 호스트에서 실행되는 다른 서비스에 대해 시스템 관리자가 수동으로 요청한 인증서도 추적합니다. certmonger 는 외부 CA 인증서 또는 사용자 인증서를 추적하지 않습니다.

certmonger 구성 요소

certmonger 서비스는 다음 두 가지 주요 구성 요소로 구성됩니다.

  • 인증서 목록을 추적하고 갱신 명령을 시작하는 엔진인 certmonger 데몬
  • 시스템 관리자가 certmonger 데몬에 적극적으로 명령을 보낼 수 있는 CLI(명령줄 인터페이스 )에 대한 getcert 유틸리티입니다.

특히 시스템 관리자는 다음을 위해 getcert 유틸리티를 사용할 수 있습니다.