(Valfritt) Skydda data genom att använda HTTPS

Om du vill skydda data under överföringen från startservern till klienten kan du använda HTTPS (HTTP over Secure Sockets Layer). Om du vill använda den säkrare installationskonfiguration som beskrivs i Säker installationskonfiguration för WAN-start måste du ställa in webbservern att använda HTTPS.

Om du inte vill utföra en säker start, hoppar du över procedurerna i det här avsnittet. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Om du vill se till att webbservern på startservern i det globala nätverket använder HTTPS måste du utföra följande åtgärder.

• Aktivera stödet för SSL (Secure Sockets Layer) på webbserern.

  Hur det går till att aktivera SSL-stödet och autentisering av klienter varierar från webbserver till webbserver. Det här dokumentet beskriver inte hur du aktiverar dessa säkerhetsfunktioner på din webbserver. Mer information om dessa funktioner finns i dokumentationen som beskrivs här nedan.

  • Information om hur du aktiverar SSL på webbservrarna SunONE och iPlanet finns i dokumentationen till SunONE och iPlanet på adressen http://docs.sun.com.

  • Information om hur du aktiverar SSL på webbservern Apache finns på Apache Documentation Project på adressen http://httpd.apache.org/docs-project/.

  • Om du använder en annan webbserver än dem i listan här ovan, måste du läsa dokumentationen till den.

• Installera digitala certifikat på startservern i det globala nätverket.

  Information om hur du använder digitala certifikat med WAN-start finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

• Förse klienten med ett betrott certifikat.

  Anvisningar för hur du skapar betrodda certifikat finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

• Skapa en hashningsnyckel och en krypteringsnyckel.

  Instruktioner om hur du skapar nycklar finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

• (Valfritt) Aktivera stödet för autentisering av klienter på webbservern.

  Mer information om hur du aktiverar stödet för autentisering av klienter på webbservern finns i dokumentationen till webbservern.

I det här avsnittet beskrivs hur du använder digitala certifikat och nycklar under en installation via ett globalt nätverk.

(Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

• Dela upp PKCS#12-filen i en separat privat SSL-nyckel och filer med betrodda certifikat.

• Infoga det betrodda certifikatet i filen truststore som tillhör klienten i katalogträdet /etc/netboot. Det betrodda certifikatet gör att klienten har förtroende för servern.

• (Valfritt) Infoga innehållet i den privata SSL-nyckelfilen i filen keystore som tillhör klienten i katalogträdet /etc/netboot.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Så här skapar du ett betrott certifikat och en privat nyckel för klienten.

Läs detta först

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

• Översiktsinformation som beskriver /etc/netboot-hierarkin finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

• Instruktioner till hur du skapar hierarkin /etc/netboot finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.

   # wanbootutil p12split -i p12certifikat \ -t /etc/netboot/IP-adress/klient-ID/truststore

   p12split

   Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

   -i p12certifikat

   Namnet på PKCS#12-filen som ska delas upp.

   -t /etc/netboot/IP-adress/klient-ID/truststore

   Infogar certifikatet i filen truststore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

   • Om inte går du till (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

   • Om du vill göra det fortsätter du med åtgärderna som följer.

     1. Infoga klientcertifikatet i filen certstore som hör till klienten.

        # wanbootutil p12split -i p12certifikat -c \ /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil

        p12split

        Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

        -i p12certifikat

        Namnet på PKCS#12-filen som ska delas upp.

        -c /etc/netboot/IP-adress/klient-ID/certstore

        Infogar klientens certifikat i filen certstore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

        -k nyckelfil

        Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

     2. Infoga den privata nyckeln i filen keystore som hör till klienten.

        # wanbootutil keymgmt -i -k nyckelfil \ -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa

        keymgmt -i

        Infogar en privat SSL-nyckel i filen keystore som hör till klienten

        -k nyckelfil

        Namnet på klientens privata nyckelfil som skapades i föregående steg

        -s /etc/netboot/IP-adress/klient-ID/keystore

        Sökvägen till filen keystore som hör till klienten

        -o type=rsa

        Anger nyckeltypen till RSA

Exempel 13–6 Skapa ett betrott certifikat för autentisering av servern

I följande exempel använder du en PKCS#12-fil för att installera klienten 010003BA152A42 på delnät 192.168.198.0. Det här kommandoexemplet extraherar ett certifikat från en PKCS#12-fil som heter client.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Fortsätta med start och installation via globala nätverk

När du har skapat ett digitalt certifikat ska du skapa en hashningsnyckel och en krypteringsnyckel. Instruktioner finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

Se även

Mer information om hur du skapar betrodda certifikat finns på direkthjälpssidan wanbootutil(1M).

(Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Om du vill skapa en hashningsnyckel och en krypteringsnyckel gör du på följande sätt.

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Skapa HMAC SHA1-huvudnyckeln.

   # wanbootutil keygen -m

   keygen -m

   HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.

   # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=sha1

   -c

   Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

   -o

   Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

   (Valfritt) net=IP-adress

   IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

   (Valfritt) cid=klient-ID

   Klientens ID. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

   type=sha1

   Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

   Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

   • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

   • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå till Steg 6.

5. Skapa en krypteringsnyckel för klienten.

   # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=nyckeltyp

   -c

   Skapar klientens krypteringsnyckel.

   -o

   Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

   (Valfritt) net=IP-adress

   IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

   (Valfritt) cid=klient-ID

   Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

   type=nyckeltyp

   Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

6. Installera nycklarna på datorn.

   Instruktioner om hur du installerar nycklar på klienten finns i Installera nycklar på klienten.

Exempel 13–7 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I det här exemplet skapas även en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för klient 010003BA152A42 på delnät 192.168.198.0.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Fortsätta med start och installation via globala nätverk

När du har skapat en hashningsnyckel och en krypteringsnyckel måste du skapa installationsfilerna. Instruktioner finns i Skapa de anpassade JumpStart-installationsfilerna.

Se även

Översiktsinformation om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation .

Mer information om hur du skapar hashnings- och krypteringsnycklar finns på direkthjälpssidan wanbootutil(1M).