test

Oracle Solaris 10 9/10 Installationshandbuch: Netzwerkbasierte Installation

Procedure(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.

Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.

Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.

Gehen Sie folgendermaßen vor, um einen Hashing-Schlüssel und einen Chiffrierschlüssel zu erzeugen.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Erzeugen Sie den HMAC SHA1-Masterschlüssel.


    # wanbootutil keygen -m
    keygen -m

    Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.

  3. Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    -c

    Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Nezt-IP

    Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=sha1

    Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.

  4. Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.

    Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.

    • Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.

  5. Chiffrierschlüssel für den Client erzeugen


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    -c

    Erzeugt den Chiffrierschlüssel für den Client.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Nezt-IP

    Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=Schlüsseltyp

    Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.

  6. Installieren Sie die Schlüssel auf dem Clientsystem.

    Anweisungen zur Installation der Schlüssel auf dem Client finden Sie unter Installation von Schlüsseln auf dem Client.

Beispiel 12–7 Erzeugen der erforderlichen Schlüssel für die WAN-Boot-Installation per HTTPS

In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.198.0 generiert.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Fortsetzen der WAN-Boot-Installation

Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

Siehe auch

Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation.

Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).