16장. IdM CA 서버에서 CRL 생성

IdM 배포에서 포함된 CA(인증 기관)를 사용하는 경우 하나의 IdM(Identity Management) 서버에서 다른 서버로 CRL(Certificate Revocation List) 생성을 이동해야 할 수 있습니다. 예를 들어 서버를 다른 시스템으로 마이그레이션하려는 경우 필요할 수 있습니다.

CRL을 생성하도록 하나의 서버만 구성합니다. CRL 게시자 역할을 수행하는 IdM 서버는 일반적으로 CA 갱신 서버 역할을 수행하는 서버와 동일하지만 필수는 아닙니다. CRL 게시자 서버를 해제하기 전에 CRL 게시자 서버 역할을 수행하도록 다른 서버를 선택하고 구성합니다.

16.1. IdM 서버에서 CRL 생성 중지

IdM CRL 게시자 서버에서 CRL(인증서 취소 목록) 생성을 중지하려면 ipa-crlgen-manage 명령을 사용합니다. 생성을 비활성화하기 전에 서버가 CRL을 실제로 생성하는지 확인합니다. 그런 다음 비활성화할 수 있습니다.

사전 요구 사항

  • IdM(Identity Management) 서버가 RHEL 8.1 시스템에 설치되어 있습니다.
  • root로 로그인해야 합니다.

절차

  1. 서버가 CRL을 생성하고 있는지 확인합니다. 

    [root@server ~]# ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful

  2. 서버에서 CRL 생성을 중지합니다. 

    [root@server ~]# ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

  3. 서버가 CRL 생성을 중지했는지 확인합니다. 

    [root@server ~]# ipa-crlgen-manage status

CRL 생성을 중지했습니다. 다음 단계는 IdM 복제본에서 CRL 생성을 활성화하는 것입니다.