인증서 갱신 자동화 권장사항

이 주제에서는 LDAPS에 대해 인증서 갱신을 자동화하기 위한 권장사항을 설명합니다.

개요

수명이 짧은 인증서를 발급하는 경우 이러한 인증서 갱신을 자동화하는 것이 좋습니다.

API 오류 처리

자동화 시에는 초기 차단 API 호출은 물론 반환된 장기 실행 작업을 폴링할 때에도 오류를 확인해야 합니다. 장기 실행 작업이 오류 없이 완료로 표시된 경우에만 업데이트가 성공한 것으로 간주할 수 있습니다.

UpdateLdapsSettingsINVALID_ARGUMENT 코드와 함께 오류를 반환할 경우 오류 메시지를 통해 업로드된 인증서에서 무엇이 잘못되었는지 확인할 수 있습니다. 이 오류는 일반적으로 API에 대한 초기 차단 호출 중에 반환됩니다. 이러한 경우에는 재시도해도 효과가 없고 자동화하면 알림이 전송됩니다.

API에서 UNAVAILABLE과 같이 재시도 가능한 다른 오류 코드가 반환되면 적합한 백오프를 사용하여 자동화 작업이 호출을 재시도합니다. 이러한 오류는 일반적으로 UpdateLdapsSettings에 대해 초기 차단 호출로 반환되는 장기 실행 작업을 폴링할 때 반환됩니다.

UpdateLdapsSettings 자세히 알아보기

LDAPSSettings 상태 확인

UpdateLdapsSettings를 호출할 때는 LDAPSSettings가 기대를 충족하고 올바른 상태(ACTIVE)에 있는지 확인하는 것이 좋습니다. GetLdapsSettings를 호출하여 의도된 상태의 인증서 지문을 배포된 인증서 지문과 비교할 수 있습니다. OpenSSL과 같은 도구를 사용하여 새 인증서의 지문을 계산할 수 있습니다.

자동화가 지문을 계산하는 데 사용되는 방법과 관리형 Microsoft AD가 이를 저장하는 방법 사이의 표시 차이점에 유의하십시오. 예를 들어 관리형 Microsoft AD는 지문을 구분되지 않은 단일 16진수 문자열(예: 771B8FD90806E074A7AD49B1624D2761137557D2)로 저장합니다. OpenSSL은 동일한 인증서에 대해 SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2를 반환합니다.

LDAPSSettingsGetLdapsSettings에 대해 자세히 알아보세요.

PFX 인증서 체인 빌드

자동화가 인증서를 PEM 또는 CRT 형식으로 조달하는 경우에는 이를 PFX로 변환하고 전체 인증서 체인을 포함해야 합니다.

PFX로 변환하고 전체 체인을 포함하려면 셸 및 OpenSSL을 사용하여 다음 단계를 완료하세요.

  1. 루트 인증서는 물론 모든 중간 인증서를 포함하는 단일 PEM 파일을 만듭니다.

    cat root-ca-cert.pem >> temp.pem
echo -e "\n" >> temp.pem
cat intermediate-ca-cert.pem >> temp.pem

  2. 출력 PFX 파일을 빌드합니다. leaf.key는 비공개 키입니다.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
    -certfile temp.pem -passout "EXPORT_PASSWORD"

  3. PFX 파일의 정보를 표시합니다. 그러면 리프 체인에 대한 전체 루트 및 비공개 키가 표시됩니다.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"