Guia de instalação do Oracle Solaris 10 9/10: instalações com base em rede

(Opcional) Protegendo dados utilizando HTTPS

Para proteger seus dados durante a transferência do servidor de inicialização WAN para o cliente, é possível utilizar HTTP com Secure Sockets Layer (HTTPS). Para utilizar a configuração de instalação mais segura que é descrita em Configuração de instalação de segurança inicialização WAN, é necessário ativar seu navegador da web para utilizar HTTPS.

Se não desejar realizar uma inicialização WAN segura, ignore os procedimentos desta seção. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para permitir que o software do servidor web no servidor de inicialização WAN utilize HTTPS, é necessário realizar as tarefas a seguir.

Esta seção descreve como utilizar certificados digitais e chaves em sua instalação com inicialização WAN.

Procedure(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente

O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.

Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.

O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.

Antes de começar

Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.

  1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

  2. Extraia o certificado confiável do arquivo PKCS#12. Insira o certificado no arquivo truststore do cliente na hierarquia /etc/netboot.


    # wanbootutil p12split -i p12cert \
    -t /etc/netboot/net-ip/client-ID/truststore
    
    p12split

    Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

    -i p12cert

    Especifica o nome do arquivo PKCS#12 a dividir.

    -t /etc/netboot/net-ip /client-ID/truststore

    Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.

  3. (Opcional) Decida se deseja exigir autenticação do cliente.

    • Se não, vá para (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

    • Se sim, continue com as etapas a seguir.

      1. Insira o certificado de cliente no certstore do cliente.


        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/net-ip/client-ID/certstore -k keyfile
        
        p12split

        Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

        -i p12cert

        Especifica o nome do arquivo PKCS#12 a dividir.

        -c /etc/netboot/net-ip/ client-ID/certstore

        Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.

        -k keyfile

        Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.

      2. Insira a chave privada no keystore do cliente.


        # wanbootutil keymgmt -i -k keyfile \
        -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
        
        keymgmt -i

        Insere uma chave SSL privada no keystore do cliente

        -k keyfile

        Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior

        -s /etc/netboot/net-ip/ client-ID/keystore

        Especifica o caminho para o keystore do cliente

        -o type=rsa

        Especifica o tipo de chave como RSA


Exemplo 12–6 Criando um certificado confiável para autenticação do servidor

No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuando a instalação da inicialização WAN

Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Consulte também

Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).

Procedure(Opcional) Para criar uma chave de hashing e uma chave de criptografia

Se quiser utilizar HTTPS para transmitir seus dados, é necessário criar uma chave de hashing HMAC SHA1 e uma chave de criptografia. Se planeja instalar por uma rede semi-privada, talvez não queira criptografar os dados de instalação. É possível utilizar uma chave de hashing HMAC SHA1 para verificar a integridade do programa wanboot.

Ao utilizar o comando wanbootutil keygen, é possível gerar essas chaves e armazená-las no diretório /etc/netboot apropriado.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para criar uma chave de hashing e uma chave de criptografia, siga essas etapas.

  1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

  2. Crie uma chave mestre HMAC SHA1.


    # wanbootutil keygen -m
    
    keygen -m

    Cria a chave mestre HMAC SHA1 para o servidor de inicialização WAN

  3. Crie a chave de hashing HMAC SHA1 para o cliente a partir da chave mestre.


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    
    -c

    Cria a chave de hashing do cliente a partir da chave mestre.

    -o

    Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

    (Opcional) net=net-ip

    Especifica o endereço IP da subrede do cliente. Se não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

    (Opcional) cid=client-ID

    Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

    type=sha1

    Instrui o utilitário wanbootutil keygen a criar uma chave de hashing HMAC SHA1 para o cliente.

  4. Decida se precisa criar uma chave de criptografia para o cliente.

    Você precisará criar uma chave de criptografia para realizar uma instalação com inicialização WAN com HTTPS. Antes do cliente estabelecer uma conexão HTTPS com o servidor de inicialização WAN, o servidor de inicialização WAN transmite os dados criptografados e as informações para o cliente. A chave de criptografia permite que o cliente descriptografe estas informações e utilize-as durante a instalação.

    • Se estiver realizando uma instalação mais segura WAN com HTTPS e com autenticação de servidor, continue.

    • Se só desejar verificar a integridade do programa wanboot, não é necessário criar uma chave de criptografia. Vá para a Etapa 6.

  5. Crie uma chave de criptografia para o cliente.


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    
    -c

    Crie a chave de criptografia do cliente.

    -o

    Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

    (Opcional) net=net-ip

    Especifica o endereço IP de rede do cliente. Se você não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

    (Opcional) cid=client-ID

    Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

    type=key-type

    Instrui o utilitário wanbootutil keygen a criar uma chave de criptografia para o cliente. key-type pode ter um valor de 3des ou aes.

  6. Instale as chaves no sistema cliente.

    Para instruções sobre como instalar chaves no cliente, consulte Instalando chaves no cliente.


Exemplo 12–7 Criando as chaves necessárias para a instalação com inicialização WAN com HTTPS

O exemplo a seguir cria uma chave mestre HMAC SHA1 para o servidor de inicialização WAN. Este exemplo também cria uma chave de hashing HMAC SHA1 e chave de criptografia 3DES para o cliente 010003BA152A42 na subrede 192.168.198.0.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuando a instalação da inicialização WAN

Depois de criar um hashing e uma chave de criptografia, será preciso criar os arquivos de instalação. Para instruções, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Consulte também

Para informações de visão geral sobre chaves de hashing e chaves de criptografia, consulte Protegendo dados durante a Instalação inicialização WAN.

Para mais informações sobre como criar chaves de hashing e de criptografia, consulte a página do manual wanbootutil(1M).