Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione su HTTPS con l'autenticazione del server o di client e server. Per requisiti e linee guida sull'uso dei file PKCS#12, vedere la sezione Requisiti dei certificati digitali.
Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:
Suddividere il file PKCS#12 in chiave privata e file di certificato.
Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.
(Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.
Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.
Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.
Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere la sezione Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere la sezione Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Assumere lo stesso ruolo dell'utente server web sul server di boot WAN.
Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip-sottorete/ID-client/truststore |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
(Opzionale) Decidere se richiedere l'autenticazione del client.
In caso positivo, continuare con le procedure seguenti.
In caso negativo, passare alla sezione Creazione di una chiave di hashing e di una chiave di cifratura.
Inserire il certificato del client nel suo certstore.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.
Inserire la chiave privata nel keystore del client.
# wanbootutil keymgmt -i -k file_chiave \ -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa |
Inserisce la chiave privata SSL nel file keystore del client
Specifica il nome del file della chiave privata del client appena creato.
Specifica il percorso del keystore del client
Specifica il tipo di chiave come RSA
Nell'esempio seguente, si usa un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.255.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |