(Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente

El método de instalación de arranque WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Para conocer los requisitos y las directrices de uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.

Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.

• Dividir el archivo PKCS#12 en dos archivos independientes, el de clave privada SSL y el certificado acreditado.

• Inserte el certificado acreditado en el archivo truststore del cliente que hay en la jerarquía /etc/netboot. El certificado acreditado indica al cliente que confíe en el servidor.

• (Opcional) Insertar el contenido de la clave privada SSL en el archivo keystore del cliente, en la jerarquía /etc/netboot.

El comando wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.

Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.

Siga estos pasos para crear un certificado acreditado y una clave privada de cliente.

Antes de empezar

Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.

• Para obtener información general sobre la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.

• Para obtener instrucciones sobre cómo crear la jerarquía /etc/netboot , consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

2. Extraiga el certificado acreditado del archivo PKCS#12 e insértelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_red/ID_cliente/truststore

   p12split

   Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

   -i p12cert

   Indica el nombre del archivo PKCS#12 que se debe dividir.

   -t /etc/netboot/ip_red /ID_cliente/truststore

   Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un Id. definido por el usuario o el Id. de cliente DHCP.

3. (Opcional) Decida si desea requerir autenticación de cliente.

   • Si no desea requerir autenticación, vaya a (Opcional) Para crear claves de hashing y de cifrado.

   • En caso afirmativo, prosiga con los pasos indicados.

     1. Inserte el certificado de cliente en el archivo certstore del cliente.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves

        p12split

        Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

        -i p12cert

        Indica el nombre del archivo PKCS#12 que se debe dividir.

        -c /etc/netboot/ip_red/ ID_cliente/certstore

        Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

        -k archivo_claves

        Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.

     2. Inserte la clave privada en el archivo keystore del cliente.

        # wanbootutil keymgmt -i -k archivo_claves \ -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa

        keymgmt -i

        Inserta una clave privada SSL en el archivo keystore del cliente

        -k archivo_claves

        Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior

        -s /etc/netboot/ip_red/ ID_cliente/keystore

        Indica la ruta al archivo keystore del cliente

        -o type=rsa

        Especifica el tipo de clave como RSA

Ejemplo 11–6 Creación de un certificado acreditado para la autenticación del servidor

En el siguiente ejemplo, se usa un archivo PKCS#12 para instalar un cliente 010003BA152A42 en una subred 192.168.198.0. Este ejemplo de comando extrae un certificado del archivo PKCS#12 que se llama client.p12 y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.

Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuación de la instalación mediante arranque WAN

Después de crear un certificado digital, cree una clave de hashing y una de cifrado. Para obtener instrucciones, consulte (Opcional) Para crear claves de hashing y de cifrado.

Véase también

Para obtener más información acerca de cómo crear certificados acreditados, consulte la página de comando man wanbootutil(1M).