test

Solaris 10 6/06 Installationshandbuch: Netzwerkbasierte Installation

Procedure(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.

Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.

Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.

Gehen Sie folgendermaßen vor, um einen Hashing-Schlüssel und einen Chiffrierschlüssel zu erzeugen.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Erzeugen Sie den HMAC SHA1-Masterschlüssel.


    # wanbootutil keygen -m
    keygen -m

    Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.

  3. Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.


    # wanbootutil keygen -c -o [net=Netz-ip,{cid=Client-ID,}]type=sha1
    -c

    Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Nezt-IP

    Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=sha1

    Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.

  4. Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.

    Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.

    • Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.

  5. Chiffrierschlüssel für den Client erzeugen


    # wanbootutil keygen -c -o [net=Netz-ip,{cid=Client-ID,}]type=Schlüsseltyp
    -c

    Erzeugt den Chiffrierschlüssel für den Client.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Nezt-IP

    Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=Schlüsseltyp

    Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.

  6. Installieren Sie die Schlüssel auf dem Client-System.

    Wie Sie die Schlüssel auf dem Client installieren, erfahren Sie in Installation von Schlüsseln auf dem Client.

Beispiel 13–7 Erzeugen der erforderlichen Schlüssel für die WAN-Boot-Installation per HTTPS

In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.198.0 generiert.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Fortsetzen der WAN-Boot-Installation

Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

Siehe auch

Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation .

Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).