test

Installationshandbok för Solaris 10 6/06: Nätverksbaserade installationer

Procedure(Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Om du vill skapa en hashningsnyckel och en krypteringsnyckel gör du på följande sätt.

  1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

  2. Skapa HMAC SHA1-huvudnyckeln.


    # wanbootutil keygen -m
    keygen -m

    HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

  3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=sha1
    -c

    Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=sha1

    Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

  4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

    Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

    • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

    • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå till Steg 6.

  5. Skapa en krypteringsnyckel för klienten.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=nyckeltyp
    -c

    Skapar klientens krypteringsnyckel.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=nyckeltyp

    Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

  6. Installera nycklarna på datorn.

    Instruktioner om hur du installerar nycklar på klienten finns i Installera nycklar på klienten.

Exempel 13–7 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I det här exemplet skapas även en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för klient 010003BA152A42 på delnät 192.168.198.0.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.


server# su nobody
Lösenord:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Fortsätta med start och installation via globala nätverk

När du har skapat en hashningsnyckel och en krypteringsnyckel måste du skapa installationsfilerna. Instruktioner finns i Skapa de anpassade JumpStart-installationsfilerna.

Se även

Översiktsinformation om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation .

Mer information om hur du skapar hashnings- och krypteringsnycklar finns på direkthjälpssidan wanbootutil(1M).