인증서 관리

인증서는 SAML 권한 정보와 OAuth 및 OpenID Connect JWT(JSON Web Token)와 같은 다양한 오브젝트를 서명, 유효성 검증, 암호화 및 복호화하는 데 사용됩니다.

시작하기 전에

이 태스크를 완료하려면 관리 권한이 있어야 합니다.
관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.

참고: CA가 서명한 인증서를 사용하는 경우, 인증서 체인에 포함된 모든 중간 인증서와 루트 인증서를 트러스트스토어에 IBM Verify 가져와야 합니다. CA 서명 인증서에는 올바른 CRL이 정의되어 있어야 하며 CRL 사이트에 액세스할 수 있어야 합니다.

이 태스크에 대한 정보

Verify 다음 인증서를 사용합니다:

개인 인증서

클라이언트 또는 서버가 인증을 위해 다른 클라이언트 또는 서버에 제공하는 디지털 신뢰 인증서입니다.

개인 인증서는 데이터 서명 및 암호화를 위해 서명자 인증서 또는 공개 키와 개인 키를 모두 포함하고 있습니다.

신원 제공자는 항상 SAML 인증 응답 에 서명합니다. SAML 의 싱글 사인온(SSO)을 구성할 때는 서비스 제공자에게 서명자 인증서 또는 개인 인증서의 공개 키 구성 요소를 제공해야 합니다. 이 정보는 ID 제공자의 ID를 유효성 검증합니다. 개인 인증서의 서명자 인증서 또는 공개 키는 ‘애플리케이션 > 로그인 안내’에 자동으로 입력됩니다.

이 인증서는 OIDC 싱글 사인온 애플리케이션에 대한 ID 토큰에 서명하는 데에도 사용됩니다.

Verify 개인 인증서가 포함되어 있습니다. 그러나 이 인증서는 데모, 개념 증명 또는 기술 증명 목적을 위한 것입니다. 프로덕션 환경에서 제공된 인증서를 사용하지 마십시오. 초기 Verify 설정 중에 다른 개인 인증서를 추가하십시오.

여러 개의 개인 인증서를 추가할 수 있으나 하나의 인증서는 항상 갖고 있어야 합니다.

server‘Friendly Name’이.로 설정된 상태에서
기본값으로 설정합니다. SAML 인증 응답에 서명할 때는 기본 인증서만 사용됩니다.

기본 개인 인증서가 곧 만료되는 경우, 이를 변경한 후 해당 개인 인증서의 공개 키를 사용한 애플리케이션을 위해 싱글 사인온을 다시 구성해야 합니다. 그렇지 않으면, 새로운 기본 개인 인증서와 공개 키가 호환되지 않는 경우, 싱글 사인온 구성이 작동되지 않습니다.

서명자 인증서

서비스 제공자가 생성하고 제공하는 디지털 신뢰 인증서이며 대상 애플리케이션 계정 또는 인스턴스에 특정합니다.

서명자 인증서에는 대상 애플리케이션의 개인 인증서와 연관된 공개 키가 포함되어 있습니다. 서명자 인증서는 인증서의 발행자를 유효성 검증하고 신뢰합니다. Verify 이 인증서를 사용하여 대상 애플리케이션으로부터 수신한 서명된 SAML 인증 요청을 검증하고, 해당 대상 애플리케이션을 신뢰함을 Verify 나타냅니다.

서비스 제공 자가 ‘ SAML ’ 인증 요청에 서명하는 경우, 해당 서비스 제공자는 자신의 서명자 인증서를 제공합니다. 일반적으로 서비스 제공자 메타데이터에서 서명자 인증서 세부사항을 가져올 수 있습니다. 대상 애플리케이션에 대한 SAML 단일 로그인(SSO)을 구성하기 전에 이를 가져오십시오. Verify

서비스 제공자가 ‘ SAML ’ 인증 요청 에 서명하지 않는 경우, 서명자 인증서를 제공하지 않습니다.

여러 서명자 인증서를 추가할 수 있습니다.

참고: SAML 엔터프라이즈 ID 공급자를 추가하면 해당 서명자 인증서가 [ 보안 > 인증서 > 서명자 인증서 ] 페이지로 자동으로 가져옵니다.

다음과 같은 태스크를 수행할 수 있습니다.

인증서 정보 보기
개인 인증서 추가
서명자 인증서 추가
개인 인증서 또는 서명자 인증서 삭제

프로시저

‘보안’ > ‘인증서’를 선택합니다

인증서 정보를 확인하십시오.

인증서를 선택하면 ‘인증서 세부 정보’ 대화 상자가 표시되며, 여기에는 다음 정보가 제공됩니다:

표 1. 인증서 상세 정보
정보	설명
이름	인증서 별명이라고도 합니다. 표시 이름입니다. 이는 일련번호 나 발급자 DN 이 아닌 인증서 자체를 직접 참조하는 것으로 간주됩니다. 소문자 텍스트여야 합니다. 영숫자만 사용하십시오.
인증서 유형	인증서를 개인 인증서 또는 서명자 인증서로 식별합니다.
발행자 DN	인증을 서명하고 발행한 엔티티의 식별 이름입니다. 이는 일반적으로 인증 기관입니다. 쉼표로 구분된 여러 `attribute=value` 쌍으로 구성됩니다. CN: CommonName 조직의 완전한 도메인 이름입니다. OU: OrganizationalUnit 조직 내 디비전 또는 부서의 이름입니다. O: Organization 해당 구/군/시, 시/도 또는 국가/지역 당국에 등록된 조직의 법적 이름입니다. L: Locality 해당 단체의 주소가 있는 도시. ST: StateOrProvinceName 조직이 실제 위치하는 시/도입니다. C®: CountryName 2자로 이루어진 국가 또는 지역 코드입니다.
주제 DN	주제 식별 이름입니다. 인증서가 발행된 엔티티의 이름입니다. 쉼표로 구분된 여러 `attribute=value` 쌍으로 구성됩니다.
유효 시작일	이(가) 인증이 유효한 시작 날짜입니다. 인증서는 특정 기간 동안에만 유효합니다. 인증 기관은 인증서에 서명할 때 인증서 유효 기간을 설정하고 시작합니다. 지정된 날짜는 로컬 날짜 및 시간 설정에 따라 달라집니다.
만료일	이 날짜 이후에 인증서가 유효하지 않게 됩니다. 지정된 날짜는 로컬 날짜 및 시간 설정에 따라 달라집니다.
일련 번호	인증 기관에서 발행한 다른 인증서와 인증서를 구별하는 고유한 ID입니다.
지문	인증서를 식별하기 위한 다이제스트 알고리즘입니다. 공개 키 인증서를 해시하고 발신 SAML 2.0 메시지에 서명하는 데 사용되는 알고리즘입니다. SHA-1 참고: SSL 인증서 발급 기관들은 2016년 1월부터 이 알고리즘의 사용을 중단했습니다. SHA-256
기본 인증서	기본 인증서인지 표시합니다. 기본 개인 인증서를 편집하거나 삭제할 수 없습니다.
서명 알고리즘	인증서의 해시 및 암호화 알고리즘입니다.

개인 인증서를 추가하세요.

‘개인 인증서 추가’를 선택합니다. 개인 인증서 추가 대화 상자가 표시됩니다.
PKCS#12 (.p12) 또는 PKCS#8 (.p8) 파일을 찾아보세요. 또는 끌어놓기 영역에 끌어 놓으십시오.

참고: ` PKCS#12 ` 파일 형식에서는 RSA 인증서만 지원되며, ` PKCS#8 ` 파일 형식에서는 ECDSA 인증서만 지원됩니다.

선택한 파일의 이름이 표시됩니다.

새 인증서에 대해 다음 정보를 지정하십시오.

표 2. 개인 인증서 추가 대화 상자
정보	설명
파일 비밀번호	.p12 파일에만 필요합니다. 인증서 파일을 복호화하고 설치하기 위한 비밀번호입니다.
이름	.p8 파일에는 필수이지만 .p12 files에는 선택사항입니다. 인증서에 대한 레이블입니다.
기본 인증서	기본 인증서인지 표시합니다. 참고: 기본 인증서로는 인증서만 .p12 사용할 수 있습니다.

‘확인’을 선택하세요.

서명자 인증서를 추가합니다.
1. ‘서명자 인증서 추가’를 선택합니다. 서명자 인증서 추가 대화 상자가 표시됩니다.
2. 파일을 .pem 찾아보거나 드롭 영역으로 끌어다 놓으세요.
  선택한 파일의 이름이 표시됩니다.
3. 새 인증서의 별칭 을 지정하십시오. 자세한 내용은 표 1을 참조하십시오.
4. ‘확인’을 선택하세요.
  이 인증서는 ‘서명자 인증서’ 섹션에 표시됩니다. 또한 ‘애플리케이션 > 로그인’ 페이지의 ‘서비스 제공자 서명자 인증서 ’ 항목에 값으로 추가됩니다.
개인 인증서 또는 서명자 인증서를 삭제합니다.
1. 다음 옵션 중 하나에서 선택하십시오.
  - 삭제하려는 인증서 위로 마우스를 가져간 다음 아이콘을 선택하세요.
  - 인증서를 선택하십시오.
2. ‘삭제’를 선택하세요.
3. 선택된 사용자를 영구적으로 삭제할지 확인하십시오.