5.3. IdM의 임의 일련 번호

RHEL 9.1부터 IdM(Identity Management)에는 dogtagpki 11.2.0 이 포함되어 있으며 Random Serial Numbers 버전 3 (RSNv3)을 사용할 수 있습니다. ansible-freeipa ipaserver 역할에는 RHEL 9.3 업데이트가 포함된 ipaserver_random_serial_numbers 변수가 포함됩니다.

RSNv3을 활성화하면 IdM은 범위 관리 없이 PKI에서 인증서 및 요청에 대해 완전히 임의의 일련 번호를 생성합니다. 또한, IdM을 다시 설치하는 경우 RSNv3도 충돌하지 않습니다. RSNv3은 일련 번호에 대해 128비트 임의 값을 사용하므로 각 인증서 일련 번호의 크기는 최대 40자리의 10진수 값입니다. 이렇게 하면 숫자가 효과적으로 임의화됩니다.

참고

이전에는 Dogtag 업스트림 프로젝트에서 여러 복제본의 고유성을 보장하기 위해 범위 기반 일련 번호를 사용했습니다. 그러나 이러한 경험을 바탕으로 Dogtag 팀은 범위 기반 일련 번호가 수명이 짧은 인증서가 있는 클라우드 환경에 적합하지 않음을 확인했습니다.

RSNv3은 새 IdM CA 설치에만 지원됩니다. ipa-server-install 명령을 사용하여 기본 IdM 서버를 설치할 때 기본적으로 첫 번째 IdM CA를 설치합니다. 그러나 원래 CA 없이 IdM 환경을 설치한 경우 ipa-ca-install 명령을 사용하여 나중에 CA 서비스를 추가할 수 있습니다. RSNv3을 활성화하려면 --random-serial-numbers 옵션과 함께 ipa-server-install 또는 ipa-ca-install 명령을 사용합니다.

활성화된 경우 CA 및 KRA(Key Recovery Authority)를 포함하여 배포에서 모든 PKI(Public-key Infrastructure) 서비스에서 RSNv3을 사용해야 합니다. 기본 CA에서 RSNv3을 자동으로 활성화하기 위해 KRA가 설치될 때 검사가 수행됩니다.