21장. 특정 관련 인증서 그룹을 빠르게 무효화
시스템 관리자는 관련 인증서의 특정 그룹을 신속하게 무효화할 수 있도록 하려면 다음을 수행하십시오.
- 특정 IdM(Lightweight Identity Management) 하위 CA에서 발행한 인증서만 신뢰하도록 애플리케이션을 설계합니다. 이후에는 이러한 인증서를 발급한 IdM(Identity Management) 하위 CA의 인증서만 취소하여 이러한 모든 인증서를 무효화할 수 있습니다. IdM에서 간단한 하위 서비스를 생성하고 사용하는 방법에 대한 자세한 내용은 관련 인증서의 특정 그룹이나 신속하게 무효화 를 참조하십시오.
to-be-revoked IdM 하위 계정에서 발급한 모든 인증서가 즉시 무효화되도록 하려면 IdM OCSP 응답자를 사용하도록 이러한 인증서에 의존하는 애플리케이션을 구성합니다. 예를 들어, OCSP 응답자를 사용하도록 Firefox 브라우저를 구성하려면
Query OCSP 응답기 서버가 Firefox preferences에서 현재 유효성이 있는지 확인하십시오.IdM에서 CRL(인증서 해지 목록)은 4시간마다 업데이트됩니다. IdM 하위 CA에서 발행한 모든 인증서를 무효화하려면 IdM 하위 CA 인증서를 취소 하십시오. 또한 관련 CA ACL을 비활성화하고 IdM 하위 시스템을 비활성화하는 것이 좋습니다. 서브-CA를 비활성화하면 하위 CA가 새 인증서를 발행하지 못하지만, 하위 CA의 서명 키가 유지되므로 이전에 발행한 인증서에 대해 OCSP(Online Certificate Status Protocol) 응답을 생성할 수 있습니다.
사용자 환경에서 OCSP를 사용하는 경우 하위 CA를 삭제하지 마십시오. 하위 CA를 삭제하면 하위 CA의 서명 키가 삭제되어 해당 하위 CA에서 발급한 인증서의 OCSP 응답이 발생하지 않습니다.
하위 CA를 삭제하는 유일한 시나리오는 동일한 주체 고유 이름(DN)을 사용하여 새 하위 시스템을 생성하지만 새 서명 키를 사용하여 새 하위 서비스를 생성해야 하는 경우입니다.
21.1. IdM CLI에서 CA ACL 비활성화
IdM 서비스 또는 IdM 서비스 그룹을 삭제하려면 기존 해당 CA ACL을 비활성화하는 것이 좋습니다.
다음 절차에 따라 IdM 클라이언트에서 실행 중인 웹 서버를 제한하고 webserver-ca IdM 하위 CA에서 발행할 인증서를 요청하고 IdM 사용자가 webclient-ca IdM 하위 CA에서 발행하도록 사용자 인증서를 요청하는 TLS_web_client_authentication CA ACL을 비활성화하는 TLS_web_server_authentication CA ACL을 비활성화합니다.
절차
선택적으로 IdM 환경의 모든 CA ACL을 보려면
ipa caacl-find명령을 입력합니다.$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE선택적으로 CA ACL의 세부 정보를 보려면
ipa caacl-show명령을 입력하고 CA ACL 이름을 지정합니다.$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COMCA ACL을 비활성화하려면
ipa caacl-disable명령을 입력하고 CA ACL 이름을 지정합니다.TLS_web_server_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------TLS_web_client_authentication CA ACL을 비활성화하려면 다음을 입력합니다.
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
이제 유일하게 활성화된 CA ACL은 hosts_services_caIPAserviceCert CA ACL입니다.
중요hosts_services_caIPAserviceCertCA ACL을 비활성화하면 주의해야 합니다.caIPAserviceCert를 비활성화하면 IdMIPAserviceCert프로필로ipaCA 사용을 부여하는 다른 CA ACL을 제공하지 않고 host_services_caHTTP및LDAP인증서의 인증서 갱신이 실패합니다. IdMHTTP및LDAP인증서가 만료되면 결국 IdM 시스템 오류가 발생합니다.
