25.2. IdM 내부 인증서

내부 인증서는 IdM을 설치하는 방법과 해당 설치에 포함된 구성 요소에 따라 달라질 수 있습니다. 해당 설치에 따라 다음 인증서가 시스템에 저장되어 있을 수 있습니다.

IdM CA 인증서

IdM CA 인증서는 다른 모든 인증서에 서명하는 데 IdM에서 사용됩니다. CA가 없는 설치에는 존재하지 않습니다.

caSigningCert설명

파일 시스템 위치

  • /etc/pki/pki-tomcat/alias NSS 데이터베이스의 nickname=caSigningCert cert-pki-ca
  • /etc/ipa/nssdb//etc/ipa/ca.crtnickname=REALM.NAME IPA CA (LDAP에서 입력됨)

LDAP 위치

CN=REALM.NAME IPA CA,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name 및 ou=authorities,ou=ca,o=ipaca

issuer

외부 CA에서 자체 서명 또는 서명

제목

O = realM.NAME, CN = 인증 기관

이는 기본값이지만 IdM 서버 설치 중에 사용자 지정할 수 있습니다.

추가 정보

CA:true 심각한 제약 조건이 있어야 하며 NSS 데이터베이스에 Cryostat,C,C 신뢰 플래그가 있어야 합니다.

외부 CA 인증서

외부 CA를 사용하는 경우 IdM 인증서를 확인하려면 IdM에서 외부 CA 체인을 사용할 수 있어야 합니다. CA가 없는 설치의 경우 LDAP 및 /etc/ipa/ca.crt 디렉터리에 HTTPD 및 LDAP 인증서를 검증하는 외부 CA 인증서가 다양한 위치에 있어야 합니다.

참고

설치 중에 자동으로 수행되므로 필요한 모든 위치에 외부 CA 인증서를 수동으로 추가할 필요는 없습니다. 그러나 외부 CA 인증서가 나중에 업데이트되면 외부 CA를 사용하여 IdM CA 갱신 서버 인증서 업데이트 단계를 수행하여 새 인증서가 필요한 모든 위치에 추가되었는지 확인해야 합니다.

외부 인증서설명

파일 시스템 위치

/etc/pki/pki-tomcat/alias nssdb/etc/ipa/ca.crt 에 있는 체인의 일부로 (LDAP에서 채워지기)

LDAP 위치

CN=SUBJECT,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name and ou=authorities,ou=ca,o=ipaca

issuer

외부 CA 서명

제목

외부 CA 제목

추가 정보

체인에 DER 형식의 모든 인증서가 있어야 하며 LDAP로 가져와야 합니다. NSS 데이터베이스에 Cryostat,C,C 신뢰 플래그가 있어야 합니다.

하위 시스템 CA 인증서

이 인증서는 LDAP 데이터베이스에 작성할 때 LDAP 서버를 인증하는 데 사용됩니다. 이 인증서는 CA가 없는 설치에는 없습니다.

subsystemCert설명

파일 시스템 위치

nickname=subsystemCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 위치

uid=pkidbuser,ou=people,o=ipaca

issuer

IPA CA

제목

CN=CA Cryostat,O=REALM.NAME

추가 정보

LDAP에서 직렬 및 Blob 불일치를 주의하십시오. 예를 들어 2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=CA Cryostat,O=REALM.NAMEuserCertificate 는 파일 시스템의 항목과 일치해야 합니다.

감사 서명 인증서

이 인증서는 감사 로그에 서명하는 데 사용됩니다. CA가 없는 설치에는 존재하지 않습니다.

auditSigningCert설명

파일 시스템 위치

nickname=auditSigningCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 위치

ou=certificateRepository,ou=ca,o=ipaca를 통해 공유되는 전용 LDAP 위치가 없습니다

issuer

IPA CA

제목

CN=CA Audit,O=REALM.NAME

추가 정보

NSS 데이터베이스에 ,,P 신뢰 플래그가 있어야 합니다.

OCSP 서명 인증서

이 인증서는 OCSP(Online Certificate Status Protocol) 서비스를 제공하는 데 사용됩니다. CA가 없는 설치에는 존재하지 않습니다.

ocspSigningCert설명

파일 시스템 위치

nickname=ocspSigningCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 위치

ou=certificateRepository,ou=ca,o=ipaca를 통해 공유되는 전용 LDAP 위치가 없습니다

issuer

IPA CA

제목

CN=OCSP Cryostat,O=REALM.NAME

추가 정보

 

Tomcat 서블릿 인증서

이 인증서는 클라이언트가 PKI에 연결할 때 사용됩니다. 이 서버 인증서는 호스트에 고유하며 CA가 없는 설치에 존재하지 않습니다.

서버-인증설명

파일 시스템 위치

  • /etc/pki/pki-tomcat/alias nssdb+의 nickname=Server-Cert cert-pki-ca

LDAP 위치

 

issuer

IPA CA

제목

CN=$HOSTNAME,O=REALM.NAME

추가 정보

 

등록 기관 인증서

certmonger 및 IdM 프레임워크에서 PKI에 인증하는 데 사용하는 인증서입니다. 예를 들어 ipa cert-show 1 을 실행하는 경우 HTTPD는 PKI와 통신하고 이 인증서로 인증합니다. CA가 없는 설치에는 존재하지 않습니다.

RA 에이전트설명

파일 시스템 위치

/var/lib/ipa/ra-agent.pem (RHEL 7.4 이전 /etc/httpd/alias 에 있는 경우)

LDAP 위치

uid=ipara,ou=people,o=ipaca

issuer

IPA CA

제목

CN=IPA RA,O=REALM.NAME

추가 정보

LDAP에서 직렬 및 Blob 불일치를 주의하십시오. 예를 들어 2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=IPA RA, O=REALM.NAMEuserCertificate 가 파일 시스템의 항목과 일치해야 합니다.

HTTPD 프런트 엔드 인증서

HTTPD 프런트 엔드에 웹 UI 및 API에 대한 연결을 보호하는 데 사용되는 인증서입니다. 존재할 수 있어야 합니다.

HTTPD설명

파일 시스템 위치

/var/lib/ipa/certs/httpd.crt (RHEL 8 이전 /etc/httpd/alias 에 있는 경우)

LDAP 위치

 

issuer

CA가 없는 설치의 IPA CA 또는 외부 CA

제목

CN=$HOSTNAME,O=REALM.NAME

추가 정보

사용자 이름이 other Name = 1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/$HOSTNAME@REALM, DNS name = $HOSTNAME 인 인증서 주체 대체 이름을 포함해야 합니다.

LDAP TLS 및 STARTTLS 인증서

LDAP TLS 및 STARTTLS 연결에 사용되는 인증서입니다. 존재할 수 있어야 합니다.

LDAP설명

파일 시스템 위치

/etc/dirsrv/slapd-DOMAIN NSS 데이터베이스의 nickname=Server-Cert ( dse.ldif에서 nsSSLPersonalitySSL 과 일치)

LDAP 위치

 

issuer

CA가 없는 설치의 IPA CA 또는 외부 CA

제목

CN=$HOSTNAME,O=REALM.NAME

추가 정보

사용자 이름이 other Name = 1.3.6.1.4.1.311.20.2.3;UTF8:ldap/$HOSTNAME@REALM, DNS name = $HOSTNAME 인 인증서 주체 대체 이름을 포함해야 합니다.

KDC 인증서

IdM KDC에 PKINIT에 사용되는 인증서입니다.

KDC설명

파일 시스템 위치

/var/kerberos/krb5kdc/kdc.crt

LDAP 위치

 

issuer

CA가 없는 설치의 IPA CA 또는 외부 CA

제목

CN=$HOSTNAME,O=REALM.NAME

추가 정보

확장된 키 사용량 id-pkinit-KPkdc (1.3.6.1.5.2.3.5), principal name as otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:krbtgt/REALM@REALM, DNS name = $HOSTNAME.