인증서 갱신 자동화

이 주제에서는 LDAP의 인증서 갱신 자동화를 위한 권장사항을 설명합니다.

개요

단기 인증서를 발급하는 경우 이러한 인증서의 갱신을 자동화하는 것이 좋습니다.

API 오류 처리

자동화는 초기 차단 API 호출 시와 반환된 장기 실행 작업을 폴링할 때 오류를 확인해야 합니다. 장기 실행 작업이 오류 없이 완료로 표시된 경우에만 업데이트가 성공한 것으로 간주됩니다.

UpdateLdapsSettingsINVALID_ARGUMENT 코드와 함께 오류를 반환하면 오류 메시지는 업로드된 인증서에 어떤 문제가 있는지 설명할 수 있습니다. 이 오류는 일반적으로 API를 처음 차단할 때 반환됩니다. 이러한 경우 재시도가 비효율적이며 자동화에서 알림을 전송해야 합니다.

API가 재시도 가능한 다른 오류 코드(예: UNAVAILABLE)를 반환하면 자동화는 적절한 백오프로 호출을 다시 시도해야 합니다. 이러한 오류는 일반적으로 UpdateLdapsSettings에 대한 초기 차단 호출로 반환되는 장기 실행 작업을 폴링할 때 반환됩니다.

UpdateLdapsSettings 자세히 알아보기

LDAPSSettings 상태 확인

UpdateLdapsSettings를 호출한 후에는 LDAPSSettings가 기대를 충족하고 정상 상태(ACTIVE)인지 확인하는 것이 좋습니다. GetLdapsSettings를 호출하여 의도한 상태의 인증서 지문을 배포된 인증서 지문과 비교할 수 있습니다. OpenSSL과 같은 도구를 사용하여 새 인증서의 지문을 계산할 수 있습니다.

자동화에서 디지털 지문을 계산하는 데 사용하는 방법과 관리형 Microsoft AD에서 디지털 지문을 저장하는 방법 간의 차이점에 유의하세요. 예를 들어 관리형 Microsoft AD는 지문을 별개의 16진수 문자열(771B8FD90806E074A7AD49B1624D2761137557D2)로 저장합니다. OpenSSL은 동일한 인증서에서 SHA1 Fingerprint=77:1B:8F:D9:08:06:E0:74:A7:AD:49:B1:62:4D:27:61:13:75:57:D2를 반환합니다.

LDAPSSettingsGetLdapsSettings에 대해 자세히 알아보세요.

PFX 인증서 체인 빌드

자동화가 PEM 또는 CRT 형식으로 인증서를 조달하는 경우 인증서를 PFX로 변환하고 전체 인증서 체인을 포함해야 합니다.

PFX로 변환하고 전체 체인을 포함하려면 셸과 OpenSSL을 사용하여 다음 단계를 완료합니다.

  1. 모든 중간 인증서와 루트 인증서를 포함하는 단일 PEM 파일을 만듭니다.

    cat root-ca-cert.pem >> temp.pem
    echo -e "\n" >> temp.pem
    cat intermediate-ca-cert.pem >> temp.pem
    
  2. 출력 PFX 파일을 빌드합니다. leaf.key는 비공개 키입니다.

    openssl pkcs12 -export -out out.pfx -inkey leaf.key -in leaf-cert.pem \
        -certfile temp.pem -passout "EXPORT_PASSWORD"
    
  3. PFX 파일의 정보를 표시합니다. 그러면 리프 체인과 비공개 키의 전체 루트가 표시됩니다.

    openssl pkcs12 -in out.pfx -nodes -passin "EXPORT_PASSWORD"