(Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Information om krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

• Dela upp PKCS#12-filen i en separat privat SSL-nyckel och filer med betrodda certifikat.

• Infoga det betrodda certifikatet i filen truststore som tillhör klienten i katalogträdet /etc/netboot. Det betrodda certifikatet gör att klienten har förtroende för servern.

• (Valfritt) Infoga innehållet i den privata SSL-nyckelfilen i filen keystore som tillhör klienten i katalogträdet /etc/netboot.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation går du till Skapa de anpassade JumpStart-installationsfilerna.

Så här skapar du ett betrott certifikat och en privat nyckel för klienten.

Läs detta först

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

• Översiktsinformation som beskriver /etc/netboot-hierarkin finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

• Instruktioner för hur du skapar /etc/netboot-hierarkin finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.

   # wanbootutil p12split -i p12certifikat \ -t /etc/netboot/IP-adress/klient-ID/truststore

   p12split

   Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

   -i p12certifikat

   Namnet på PKCS#12-filen som ska delas upp.

   -t /etc/netboot/IP-adress/klient-ID/truststore

   Infogar certifikatet i filen truststore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

   • Om inte går du till (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

   • Om du vill göra det fortsätter du med åtgärderna som följer.

     1. Infoga klientcertifikatet i filen certstore som hör till klienten.

        # wanbootutil p12split -i p12certifikat -c \ /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil

        p12split

        Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

        -i p12certifikat

        Namnet på PKCS#12-filen som ska delas upp.

        -c /etc/netboot/IP-adress/klient-ID/certstore

        Infogar klientens certifikat i filen certstore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

        -k nyckelfil

        Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

     2. Infoga den privata nyckeln i filen keystore som hör till klienten.

        # wanbootutil keymgmt -i -k nyckelfil \ -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa

        keymgmt -i

        Infogar en privat SSL-nyckel i filen keystore som hör till klienten

        -k nyckelfil

        Namnet på klientens privata nyckelfil som skapades i föregående steg

        -s /etc/netboot/IP-adress/klient-ID/keystore

        Sökvägen till filen keystore som hör till klienten

        -o type=rsa

        Anger nyckeltypen som RSA

Exempel 13–6 Skapa ett betrott certifikat för autentisering av servern

I följande exempel använder du en PKCS#12-fil för att installera klienten 010003BA152A42 på delnät 192.168.198.0. Det här kommandoexemplet extraherar ett certifikat från en PKCS#12-fil som heter client.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Fortsätta med installation av start via globala nätverk

När du har skapat ett digitalt certifikat ska du skapa en hashningsnyckel och en krypteringsnyckel. Instruktioner finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Se även

Mer information om hur du skapar betrodda certifikat finns i direkthjälpen för wanbootutil(1M).