test

Guida all'installazione di Solaris 9 12/03

Uso dei certificati digitali per l'autenticazione di client e server

Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione su HTTPS con l'autenticazione del server o di client e server. Per requisiti e linee guida sull'uso dei file PKCS#12, vedere la sezione Requisiti dei certificati digitali.

Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:

Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.

Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.

Creazione di un certificato digitale e di una chiave privata per il client

  1. Assumere lo stesso ruolo dell'utente server web sul server di boot WAN.

  2. Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.


    # wanbootutil p12split -i p12cert \
  -t /etc/netboot/ip-sottorete/ID-client/truststore
    p12split

    Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

    -i p12cert

    Specifica il nome del file PKCS#12 da suddividere.

    -t /etc/netboot/ip-sottorete/ID-client/truststore

    Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

  3. (Opzionale) Decidere se richiedere l'autenticazione del client.

    1. Inserire il certificato del client nel suo certstore.


      # wanbootutil p12split -i p12cert -c \
  /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave
      p12split

      Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

      -i p12cert

      Specifica il nome del file PKCS#12 da suddividere.

      -c /etc/netboot/ip-sottorete/ID-client/certstore

      Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

      -k file_chiave

      Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.

    2. Inserire la chiave privata nel keystore del client.


      # wanbootutil keymgmt -i -k file_chiave \
   -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa
      keymgmt -i

      Inserisce la chiave privata SSL nel file keystore del client

      -k file_chiave

      Specifica il nome del file della chiave privata del client appena creato.

      -s /etc/netboot/ip-sottorete/ID-client/keystore

      Specifica il percorso del keystore del client

      -o type=rsa

      Specifica il tipo di chiave come RSA

Esempio 40–2 Creazione di un certificato digitale per l'autenticazione del server

Nell'esempio seguente, si usa un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.255.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.


# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore