(Optional) Einsatz von privatem Schlüssel und Zertifikat zur Client-Authentifizierung

Zum weiteren Schutz Ihrer Daten während der Installation können Sie festlegen, dass sich wanclient-1 gegenüber wanserver-1 authentifizieren muss. Zur Aktivierung der Client-Authentifizierung in der WAN-Boot-Installation fügen Sie ein Client-Zertifikat und einen privaten Schlüssel (private key) in das Client-Unterverzeichnis der /etc/netboot-Hierarchie ein.

Gehen Sie wie folgt vor, um dem Client einen privaten Schlüssel und ein Zertifikat zur Verfügung zu stellen.

• Nehmen Sie die Benutzerrolle des Webserver-Benutzers an.

• Teilen Sie die PKCS#12-Datei in einen privaten Schlüssel und ein Client-Zertifikat auf.

• Fügen Sie das Zertifikat in die Datei certstore des Clients ein.

• Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.

In diesem Beispiel nehmen Sie die Benutzerrolle nobody an, da dies die Rolle des Webserver-Benutzers ist. Dann teilen Sie das PKCS#12-Serverzertifikat namens cert.p12 auf. Sie fügen das Zertifikat in die /etc/netboot-Hierarchie für wanclient-1 ein. Anschließend fügen Sie den als wanclient.key benannten privaten Schlüssel in die keystore-Datei des Clients ein.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa