(Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

• Dela upp PKCS#12-filen i en separat privat SSL-nyckel och filer med betrodda certifikat.

• Infoga det betrodda certifikatet i filen truststore som tillhör klienten i katalogträdet /etc/netboot. Det betrodda certifikatet gör att klienten har förtroende för servern.

• (Valfritt) Infoga innehållet i den privata SSL-nyckelfilen i filen keystore som tillhör klienten i katalogträdet /etc/netboot.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Så här skapar du ett betrott certifikat och en privat nyckel för klienten.

Läs detta först

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

• Översiktsinformation som beskriver /etc/netboot-hierarkin finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

• Instruktioner till hur du skapar hierarkin /etc/netboot finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.

   # wanbootutil p12split -i p12certifikat \ -t /etc/netboot/IP-adress/klient-ID/truststore

   p12split

   Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

   -i p12certifikat

   Namnet på PKCS#12-filen som ska delas upp.

   -t /etc/netboot/IP-adress/klient-ID/truststore

   Infogar certifikatet i filen truststore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

   • Om inte går du till (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

   • Om du vill göra det fortsätter du med åtgärderna som följer.

     1. Infoga klientcertifikatet i filen certstore som hör till klienten.

        # wanbootutil p12split -i p12certifikat -c \ /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil

        p12split

        Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

        -i p12certifikat

        Namnet på PKCS#12-filen som ska delas upp.

        -c /etc/netboot/IP-adress/klient-ID/certstore

        Infogar klientens certifikat i filen certstore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

        -k nyckelfil

        Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

     2. Infoga den privata nyckeln i filen keystore som hör till klienten.

        # wanbootutil keymgmt -i -k nyckelfil \ -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa

        keymgmt -i

        Infogar en privat SSL-nyckel i filen keystore som hör till klienten

        -k nyckelfil

        Namnet på klientens privata nyckelfil som skapades i föregående steg

        -s /etc/netboot/IP-adress/klient-ID/keystore

        Sökvägen till filen keystore som hör till klienten

        -o type=rsa

        Anger nyckeltypen till RSA

Exempel 13–6 Skapa ett betrott certifikat för autentisering av servern

I följande exempel använder du en PKCS#12-fil för att installera klienten 010003BA152A42 på delnät 192.168.198.0. Det här kommandoexemplet extraherar ett certifikat från en PKCS#12-fil som heter client.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Fortsätta med start och installation via globala nätverk

När du har skapat ett digitalt certifikat ska du skapa en hashningsnyckel och en krypteringsnyckel. Instruktioner finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

Se även

Mer information om hur du skapar betrodda certifikat finns på direkthjälpssidan wanbootutil(1M).