19장. certmonger를 사용하여 서비스에 대한 IdM 인증서 가져오기

19.1. certmonger 개요

IdM(Identity Management)이 통합된 IdM 인증 기관(CA)과 함께 설치되면 certmonger 서비스를 사용하여 시스템 및 서비스 인증서를 추적하고 갱신합니다. 인증서가 만료일에 도달하면 certmonger 는 다음을 통해 갱신 프로세스를 관리합니다.

  • 원래 요청에 제공된 옵션을 사용하여 CSR(인증서 서명 요청)을 다시 생성합니다.
  • IdM API cert-request 명령을 사용하여 IdM CA에 CSR을 제출합니다.
  • IdM CA에서 인증서를 수신합니다.
  • 원래 요청으로 지정된 경우 pre-save 명령을 실행합니다.
  • 업데이트 요청에 지정된 위치에 새 인증서 설치: NSS 데이터베이스 또는 파일.
  • 원래 요청에 의해 지정된 경우 post-save 명령을 실행합니다. 예를 들어 post-save 명령은 서비스가 새 인증서를 선택하도록 certmonger 에 관련 서비스를 재시작하도록 지시할 수 있습니다.

인증서 certmonger 트랙

인증서는 시스템 및 서비스 인증서로 나눌 수 있습니다.

서비스 인증서(예: HTTP,LDAPPKINIT)와 달리, 서로 다른 서버에 키 쌍과 제목 이름이 다른 경우 IdM 시스템 인증서와 해당 키는 모든 CA 복제본에서 공유합니다. IdM 시스템 인증서는 다음과 같습니다.

  • IdM CA 인증서
  • OCSP 서명 인증서
  • IdM CA 하위 시스템 인증서
  • IdM CA 감사 서명 인증서
  • IdM 갱신 에이전트 (RA) 인증서
  • KRA 전송 및 스토리지 인증서

certmonger 서비스는 통합된 CA를 사용하여 IdM 환경 설치 중에 요청된 IdM 시스템 및 서비스 인증서를 추적합니다. certmonger는 IdM 호스트에서 실행되는 다른 서비스를 위해 시스템 관리자가 수동으로 요청한 인증서도 추적합니다. certmonger 는 외부 CA 인증서 또는 사용자 인증서를 추적하지 않습니다.

certmonger 구성 요소

certmonger 서비스는 두 가지 주요 구성 요소로 구성됩니다.

  • certmonger 데몬 - 인증서 목록을 추적하고 갱신 명령 시작
  • 시스템 관리자가 certmonger 데몬에 적극적으로 명령을 보낼 수 있는 CLI(명령줄 인터페이스 )용 getcert 유틸리티입니다.

특히 시스템 관리자는 getcert 유틸리티를 사용하여 다음을 수행할 수 있습니다.