4.2. 외부 인증서를 IdM 사용자 계정으로 로드하도록 변환

이 섹션에서는 사용자 항목에 추가하기 전에 외부 인증서가 올바르게 인코딩되고 포맷되었는지 확인하는 방법에 대해 설명합니다.

4.2.1. 사전 요구 사항

  • Active Directory 인증 기관에서 인증서를 발급하고 PEM 인코딩을 사용하는 경우 PEM 파일이 UNIX 형식으로 변환되었는지 확인합니다. 파일을 변환하려면 eponymous 패키지에서 제공하는 dos2unix 유틸리티를 사용하십시오.

4.2.2. IdM CLI에서 외부 인증서를 변환하고 IdM 사용자 계정에 로드

IdM CLI 는 첫 번째 행과 마지막 줄(-----BEGINassRTIFICATE-----) 및 ----ENDCERTIFICATE---------)이 제거된 PEM 인증서만 허용합니다.

다음 절차에 따라 외부 인증서를 PEM 형식으로 변환하고 IdM CLI를 사용하여 IdM 사용자 계정에 추가합니다.

절차

  1. 인증서를 PEM 형식으로 변환합니다.

    • 인증서 형식이 DER 인 경우: 

      $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

    • 파일이 PKCS #12 형식인 경우 일반 파일 이름 확장자가 .pfx.p12 이고 인증서, 개인 키 및 기타 데이터를 포함하는 경우 openssl pkcs12 유틸리티를 사용하여 인증서를 추출합니다. 메시지가 표시되면 파일에 저장된 개인 키를 보호하는 암호를 입력합니다. 

      $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
Enter Import Password:

  2. 관리자의 자격 증명을 가져옵니다. 

    $ kinit admin

  3. 다음 방법 중 하나를 통해 IdM CLI 를 사용하여 사용자 계정에 인증서를 추가합니다.

    • ipa user-add-cert 명령에 문자열을 추가하기 전에 sed 유틸리티를 사용하여 PEM 파일의 첫 번째 및 마지막 줄(----BEGINCEIFICATE----- 및 ------)을 제거합니다. 

      $ ipa user-add-cert some_user --certificate="$(sed -e '/BEGIN CERTIFICATE/d;/END CERTIFICATE/d' cert.pem)"

    • 첫 번째 및 마지막 줄(-----BEGINassRTIFICATE------) 없이 인증서 파일의 콘텐츠를 복사하여 붙여 넣습니다. ipa user-add-cert 명령에 다음 명령을 실행합니다. 

      $ ipa user-add-cert some_user --certificate=MIIDlzCCAn+gAwIBAgIBATANBgkqhki...
      참고

      인증서가 포함된 PEM 파일을 ipa user-add-cert 명령에 직접 전달할 수 없습니다. 첫 번째 행과 마지막 줄(-----BEGIN CERTIFICATE------------------------)을 먼저 제거하지 않고도 ipa user-add-cert 명령에 직접 PEM 파일을 전달할 수 없습니다. 

      $ ipa user-add-cert some_user --cert=some_user_cert.pem

      이 명령을 실행하면 "ipa: ERROR: Base64 디코딩에 실패했습니다. 오류 메시지가 잘못되었습니다.

  4. 시스템에 의해 인증서가 수락되었는지 확인하려면 다음을 수행합니다. 

    [idm_user@r8server]$ ipa user-show some_user

4.2.3. IdM 사용자 계정으로 로드하기 위해 IdM 웹 UI의 외부 인증서 변환

외부 인증서를 PEM 형식으로 변환한 후 IdM 웹 UI의 IdM 사용자 계정에 추가하려면 다음 절차를 따르십시오.

절차

  1. CLI 를 사용하여 인증서를 PEM 형식으로 변환합니다.

    • 인증서 형식이 DER 인 경우: 

      $ openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

    • 파일이 PKCS #12 형식인 경우 일반 파일 이름 확장자가 .pfx.p12 이고 인증서, 개인 키 및 기타 데이터를 포함하는 경우 openssl pkcs12 유틸리티를 사용하여 인증서를 추출합니다. 메시지가 표시되면 파일에 저장된 개인 키를 보호하는 암호를 입력합니다. 

      $ openssl pkcs12 -in cert_and_key.p12 -clcerts -nokeys -out cert.pem
Enter Import Password:
  2. 편집기에서 인증서를 열고 콘텐츠를 복사합니다. "-----BEGINCERTIFICATE-----" 및 "---ENDCERTIFICATE----" 헤더와 피터 라인을 포함할 수 있지만, 사용자는 IdM 웹 UI에서 PEMbase64 형식을 모두 수락할 수 있습니다.
  3. IdM 웹 UI에서 보안 담당자로 로그인합니다.
  4. IdentityUserssome_user 으로 이동합니다.
  5. 인증서 옆에 있는 추가 를 클릭합니다.
  6. 인증서의 PEM 형식의 콘텐츠를 열리는 창에 붙여넣습니다.
  7. 추가를 클릭합니다.

시스템에서 인증서를 승인한 경우 사용자 프로필의 인증서 중 나열되는 내용을 확인할 수 있습니다.