11장. IdM CA 갱신 서버 사용

11.1. IdM CA 갱신 서버 설명

CA(인증 기관)를 사용하는 IdM(Identity Management) 배포에서 CA 갱신 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다. 강력한 IdM 배포를 보장합니다.

IdM 시스템 인증서는 다음과 같습니다.

  • IdM CA 인증서
  • OCSP 서명 인증서
  • IdM CA 하위 시스템 인증서
  • IdM CA 감사 서명 인증서
  • IdM 갱신 에이전트 (RA) 인증서
  • KRA 전송 및 스토리지 인증서

시스템 인증서를 특성화하여 모든 CA 복제본에서 키를 공유하는 것은 무엇입니까. 반면 IdM 서비스 인증서(예: LDAP,HTTPPKINIT 인증서)에는 서로 다른 IdM CA 서버에서 키 쌍과 제목 이름이 다릅니다.

IdM 토폴로지에서 기본적으로 첫 번째 IdM CA 서버는 CA 갱신 서버입니다.

참고

업스트림 문서에서 IdM CA는 Dogtag 라고 합니다.

CA 갱신 서버의 역할

IdM CA,IdM CA 하위 시스템, IdM RA 인증서는 IdM 배포에 중요합니다. 각 인증서는 /etc/pki/pki-tomcat/ 디렉터리의 NSS 데이터베이스에 저장되고 LDAP 데이터베이스 항목으로도 저장됩니다. LDAP에 저장된 인증서는 NSS 데이터베이스에 저장된 인증서와 일치해야 합니다. 일치하지 않는 경우 IdM 프레임워크와 IdM CA와 IdM CA 간 인증 오류가 발생합니다.

모든 IdM CA 복제본은 모든 시스템 인증서에 대한 요청을 추적합니다. 통합 CA를 사용한 IdM 배포에 CA 갱신 서버가 없는 경우 각 IdM CA 서버에서 독립적으로 시스템 인증서 갱신을 요청합니다. 이로 인해 서로 다른 CA 복제본이 다양한 시스템 인증서 및 인증 오류가 발생합니다.

갱신 서버로 하나의 CA 복제본을 추가하면 필요에 따라 시스템 인증서를 정확하게 갱신할 수 있으므로 인증 오류가 발생하지 않습니다.

CA 복제본에서 certmonger 서비스의 역할

모든 IdM CA 복제본에서 실행되는 certmonger 서비스는 dogtag-ipa-ca-renew-agent 업데이트 도우미를 사용하여 IdM 시스템 인증서를 추적합니다. 갱신 도우미 프로그램은 CA 갱신 서버 구성을 읽습니다. CA 갱신 서버가 아닌 각 CA 복제본에서 갱신 도우미는 ca_renewal LDAP 항목에서 최신 시스템 인증서를 검색합니다. 정확히 certmonger 갱신 시도가 발생할 경우 CA 갱신 서버가 실제로 인증서를 갱신하기 전에 시스템 인증서를 업데이트하려고 하는 경우가 있음에 따라ts tag-ipa-ca-renew-agent 도우미가 시스템 인증서를 업데이트하려고 할 수 있습니다. 이 경우 이전 인증서가 즉시 CA 복제본의 certmonger 서비스로 반환됩니다. certmonger 서비스는 데이터베이스에 이미 저장된 인증서와 동일한 인증서이며 CA 갱신 서버에서 업데이트된 인증서를 검색할 수 있을 때까지 개별 시도 사이에 특정 지연으로 인증서를 업데이트하려고 합니다.

IdM CA 갱신 서버의 올바른 기능

CA가 포함된 IdM 배포는 IdM CA와 함께 설치되었거나 IdM CA 서버가 나중에 설치된 IdM 배포입니다. 포함된 CA를 사용하는 IdM 배포에는 항상 갱신 서버로 구성된 정확히 하나의 CA 복제본이 있어야 합니다. 갱신 서버는 온라인이고 완전히 작동해야 하며 다른 서버와 함께 제대로 복제해야 합니다.

ipa server-del,ipa-replica-manage del,ipa-csreplica-manage del 또는 ipa-server-install --uninstall 명령을 사용하여 현재 CA 갱신 서버가 삭제되면 다른 CA 복제본이 CA 갱신 서버로 자동으로 할당됩니다. 이 정책은 갱신 서버 구성이 유효한 상태로 유지됩니다.

이 정책은 다음 상황을 다루지 않습니다.

  • 오프라인 갱신 서버

    연장된 기간 동안 갱신 서버가 오프라인인 경우 갱신 기간이 누락될 수 있습니다. 이 경우 모든 비갱신 CA 서버는 인증서가 만료될 때까지 현재 시스템 인증서를 계속 다시 설치합니다. 이 경우 하나의 만료된 인증서로 인해 다른 인증서에 대한 갱신 오류가 발생할 수 있기 때문에 IdM 배포가 중단됩니다.

  • 복제 문제

    갱신 서버와 기타 CA 복제본 간에 복제 문제가 있는 경우 갱신에 성공할 수 있지만 다른 CA 복제본은 만료되기 전에 업데이트된 인증서를 검색하지 못할 수 있습니다.

    이러한 상황을 방지하려면 복제 계약이 올바르게 작동하는지 확인하십시오. 자세한 내용은 RHEL 7 Linux 도메인 ID, 인증 및 정책 가이드의 일반 또는 특정 복제 문제 해결 지침을 참조하십시오.