(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente

O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.

Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.

• Divida o arquivo PKCS#12 em arquivos SSL separados de chave privada e certificado confiável.

• Insira o certificado confiável no arquivo truststore do cliente na hierarquia /etc/netboot. O certificado confiável instrui o cliente a confiar no servidor.

• (Opcional) Insira o conteúdo do arquivo da chave privada de SSL no arquivo keystore do cliente na hierarquia /etc/netboot .

O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.

Antes de começar

Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.

• Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.

• Para instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Extraia o certificado confiável do arquivo PKCS#12. Insira o certificado no arquivo truststore do cliente na hierarquia /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

   -i p12cert

   Especifica o nome do arquivo PKCS#12 a dividir.

   -t /etc/netboot/net-ip /client-ID/truststore

   Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.

3. (Opcional) Decida se deseja exigir autenticação do cliente.

   • Se não, vá para (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

   • Se sim, continue com as etapas a seguir.

     1. Insira o certificado de cliente no certstore do cliente.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

        -i p12cert

        Especifica o nome do arquivo PKCS#12 a dividir.

        -c /etc/netboot/net-ip/ client-ID/certstore

        Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.

        -k keyfile

        Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.

     2. Insira a chave privada no keystore do cliente.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        Insere uma chave SSL privada no keystore do cliente

        -k keyfile

        Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior

        -s /etc/netboot/net-ip/ client-ID/keystore

        Especifica o caminho para o keystore do cliente

        -o type=rsa

        Especifica o tipo de chave como RSA

Exemplo 12–6 Criando um certificado confiável para autenticação do servidor

No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuando a instalação da inicialização WAN

Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Consulte também

Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).