Konfiguration des WAN-Boot-Servers

Beim WAN-Boot-Server handelt es sich um einen Webserver, der die Boot- und Konfigurationsdaten für die WAN-Boot-Installation bereitstellt. In Tabelle 42–1 sind die Systemvoraussetzungen für WAN-Boot-Server aufgeführt.

In diesem Abschnitt werden die folgenden Schritte beschrieben, die zur Konfiguration des WAN-Boot-Servers für eine WAN-Boot-Installation nötig sind:

• Erstellen des Dokument-Root-Verzeichnisses

• Erzeugen der WAN-Boot-Miniroot

• Installation des wanboot-Programms auf dem WAN-Boot-Server

• Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

• Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server

• (Optional) Schützen der Daten mit HTTPS

Erstellen des Dokument-Root-Verzeichnisses

Damit die Webserver-Software auf dem WAN-Boot-Server die Konfigurations- und Installationsdateien bereitstellen kann, müssen Sie ihr Zugang zu diesen Dateien einräumen. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server zu speichern.

Wenn Sie die Konfigurations- und Installationsdateien in einem Dokument-Root-Verzeichnis zur Verfügung stellen möchten, müssen Sie dieses Verzeichnis zunächst anlegen. Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Informationen über die Strukturierung Ihres Dokument-Root-Verzeichnisses finden Sie in Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis.

Erzeugen der WAN-Boot-Miniroot

WAN-Boot verwendet eine speziell auf die WAN-Boot-Installation ausgerichtete Solaris-Miniroot. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot. Wenn Sie eine WAN-Boot-Installation durchführen möchten, müssen Sie die Miniroot von der Solaris-DVD oder der Solaris Software 1 of 2-CD auf den WAN-Boot-Server kopieren. Kopieren Sie die WAN-Boot-Miniroot mit dem Befehl setup_install_server und der Option -w vom Solaris-Softwaredatenträger auf die Festplatte des Systems.

Bei diesem Verfahren wird eine SPARC-WAN-Boot-Miniroot mit einem SPARC-Datenträger erzeugt. Wenn Sie eine SPARC-WAN-Boot-Miniroot von einem x86–basierten Server aus zur Verfügung stellen möchten, müssen Sie die Miniroot auf einem SPARC-System erzeugen. Nachdem Sie die Miniroot erzeugt haben, kopieren Sie sie in das Dokument-Root-Verzeichnis auf dem x86–basierten Server.

Weitere Informationen über den Befehl setup_install_server finden Sie in Kapitel 15.

SPARC: Erzeugen der WAN-Boot-Miniroot

Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Informationen über die Verwaltung von Wechseldatenträgern ohne Volume Manager finden Sie in System Administration Guide: Basic Administration.

1. Melden Sie sich auf dem WAN-Boot-Server als Superuser an.

   Das System muss die folgenden Voraussetzungen erfüllen:

   • Es muss ein CD-ROM- oder DVD-ROM-Laufwerk aufweisen.

   • Es muss Teil des Netzwerks und Namen-Service des Standorts sein.

     Wenn Sie einen Namen-Service verwenden, muss sich das System außerdem bereits in einem Namen-Service wie NIS, NIS+, DNS oder LDAP befinden. Wenn Sie keinen Namen-Service verwenden, müssen Sie die Informationen über dieses System in Übereinstimmung mit den Richtlinien des jeweiligen Standorts verteilen.

2. Legen Sie die Solaris Software 1 of 2-CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.

3. Erzeugen Sie ein Verzeichnis für die WAN-Boot-Miniroot und das Solaris-Installationsabbild.

   # mkdir -p WAN_verz_pfad Inst_verz_pfad

   -p

   Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.

   WAN_verz_pfad

   Gibt das Verzeichnis auf dem Installationsserver an, in dem die WAN-Boot-Miniroot erzeugt werden soll. Dieses Verzeichnis muss Miniroots aufnehmen können, die in der Regel 250 MB groß sind.

   Inst_verz_pfad

   Gibt das Verzeichnis auf dem Installationsserver an, in welches das Solaris-Software-Abbild kopiert werden soll. Dieses Verzeichnis kann zu einem späteren Zeitpunkt in diesem Verfahren entfernt werden.

4. Wechseln Sie in das Verzeichnis Tools auf dem eingehängten Datenträger.

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools

   In obigem Beispiel steht cdrom0 für den Pfad zu dem Laufwerk, in dem sich der Solaris-Datenträger befindet.

5. Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild auf die Festplatte des WAN-Boot-Servers.

   # ./setup_install_server -w WAN_verz_pfad Inst_verz_pfad

   WAN_verz_pfad

   Gibt das Verzeichnis an, in das die WAN-Boot-Miniroot kopiert werden soll.

   Inst_verz_pfad

   Gibt das Verzeichnis an, in welches das Solaris-Software-Abbild kopiert werden soll.

   ---

   Hinweis –

   Der Befehl setup_install_server gibt an, ob ausreichend Festplattenspeicher für die Solaris Software-Abbilder vorhanden ist. Um den verfügbaren Festplattenspeicher zu ermitteln, verwenden Sie den Befehl df -kl.

   ---

   Der Befehl setup_install_server -w erzeugt die WAN-Boot-Miniroot und ein Netzwerkinstallationsabbild der Solaris-Software.

6. (Optional) Entfernen Sie das Netzwerkinstallationsabbild.

   Für eine WAN-Installation mit Solaris Flash-Archiv brauchen Sie das Solaris-Software-Abbild nicht. Wenn Sie nicht beabsichtigen, das Netzwerkinstallationsabbild für weitere Netzwerkinstallationen einzusetzen, haben Sie also die Möglichkeit, Speicherplatz auf der Festplatte freizuräumen. Geben Sie folgenden Befehl ein, um das Netzwerkinstallationsabbild zu löschen.

   # rm -rf Inst_verz_pfad

7. Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zur WAN-Boot-Miniroot ein.

   • Erzeugen Sie einen symbolischen Link auf die WAN-Boot-Miniroot im Dokument-Root-Verzeichnis des WAN-Boot-Servers.

     # cd /Dok_Root-Verz/miniroot # ln -s /WAN_verz_pfad/miniroot .

     Dok_Root-Verz/miniroot

     Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem sich die WAN-Boot-Miniroot befindet, auf die der Link erzeugt werden soll.

     /WAN_verz_pfad/miniroot

     Gibt den Pfad zur WAN-Boot-Miniroot an.

   • Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

     # mv /WAN_verz_pfad/miniroot /Dokument-Root-Verz/miniroot/Miniroot-Name

     WAN_verz_pfad/miniroot

     Gibt den Pfad zur WAN-Boot-Miniroot an.

     /Dok_Root-Verz/miniroot/

     Gibt den Pfad zum WAN-Boot-Miniroot-Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.

     Miniroot-Name

     Steht für den Namen der WAN-Boot-Miniroot. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel miniroot.s9_sparc.

Installation des wanboot-Programms auf dem WAN-Boot-Server

Für die Installation des Clients kommt in WAN-Boot ein spezielles Unterprogramm (wanboot) zum Einsatz. Das wanboot-Programm lädt die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die für eine WAN-Boot-Installation erforderlichen Installationsdateien.

Das wanboot-Programm muss dem Client während der WAN-Boot-Installation zur Verfügung gestellt werden. Hierzu haben Sie folgende Möglichkeiten:

• Wenn der Client-PROM WAN-Boot unterstützt, können Sie das Programm vom WAN-Boot-Server auf den Client übertragen. Wie Sie feststellen, ob der PROM des Clients WAN-Boot unterstützt, erfahren Sie in Überprüfen des Client-OBP auf WAN-Boot-Unterstützung .

• Wenn der Client-PROM keine Unterstützung für WAN-Boot bietet, müssen Sie dem Client das Programm auf einer lokalen CD zur Verfügung stellen. In diesem Fall setzen Sie die Installationsvorbereitung mit Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server fort.

SPARC: Installation des wanboot-Programms auf dem WAN-Boot-Server

Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Informationen über die Verwaltung von Wechseldatenträgern ohne Volume Manager finden Sie in System Administration Guide: Basic Administration.

1. Melden Sie sich auf dem Installationsserver als Superuser an.

2. Legen Sie die Solaris Software 1 of 2-CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.

3. Wechseln Sie in das Plattformverzeichnis sun4u auf der Solaris Software 1 of 2-CD oder der Solaris-DVD.

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/

4. Kopieren Sie das wanboot-Programm auf den Installationsserver.

   # cp wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name

   Dokument-Root-Verz

   Steht für das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

   Wanboot-Name

   Gibt den Namen des wanboot-Programms an. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel wanboot.s9_sparc.

5. Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zum wanboot-Programm ein.

   • Erzeugen Sie einen symbolischen Link auf das wanboot-Programm im Dokument-Root-Verzeichnis des WAN-Boot-Servers.

     # cd /Dokument-Root-Verz/wanboot # ln -s /WAN_verz_pfad/wanboot .

     Dokument-Root-Verz/wanboot

     Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem sich das wanboot-Programm befindet, auf das der Link erzeugt werden soll.

     /WAN_verz_pfad/wanboot

     Gibt den Pfad zum wanboot-Programm an.

   • Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

     # mv /WAN_verz_pfad/wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name

     WAN_verz_pfad/wanboot

     Gibt den Pfad zum wanboot-Programm an.

     /Dokument-Root-Verz/wanboot

     Gibt den Pfad zum wanboot-Programmverzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.

     Wanboot-Name

     Gibt den Namen des wanboot-Programms an. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel wanboot.s9_sparc.

Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Während der Installation sucht WAN-Boot in der /etc/netboot-Hierarchie auf dem Webserver nach Installationsanweisungen. Dieses Verzeichnis enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für die WAN-Boot-Installation benötigt werden. Aus diesen Informationen bildet das Programm wanboot-cgi bei der Installation das WAN-Boot-Dateisystem. Anschließend überträgt das Programm wanboot-cgi das WAN-Boot-Dateisystem an den Client.

Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.

• Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.

• Netzwerkspezifische Konfiguration – Wenn nur die Systeme in einem bestimmten Teilnetz dieselben Konfigurationsinformationen gemeinsam verwenden sollen, speichern Sie die gemeinsamen Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients.

• Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP/Client-ID

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID.

Ausführliche Hinweise zur Planung der /etc/netboot-Hierarchie finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie .

Erstellen der /etc/netboot-Hierarchie

1. Melden Sie sich auf dem WAN-Boot-Server als Superuser an.

2. Erzeugen des Verzeichnisses /etc/netboot.

   # mkdir /etc/netboot

3. Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.

   # chmod 700 /etc/netboot

4. Setzen Sie den Eigentümer des Verzeichnisses /etc/netboot auf den Webserver-Eigentümer.

   # chown Webserver-Benutzer:Webserver-Gruppe /etc/netboot/

   Webserver-Benutzer

   Steht für den Benutzer, der Eigentümer des Webserver-Prozesses ist.

   Webserver-Gruppe

   Steht für die Gruppe, die Eigentümer des Webserver-Prozesses ist.

5. Beenden Sie den Superuser-Status.

   # exit

6. Nehmen Sie die Benutzerrolle des Webserver-Eigentümers an.

7. Erzeugen Sie in /etc/netboot ein Unterverzeichnis für den Client.

   # mkdir -p /etc/netboot/Netz-IP/Client-ID

   -p

   Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.

   (Optional) Netz-IP

   Die Netzwerk-IP-Adresse des Teilnetzes, in dem sich der Client befindet.

   (Optional) Client-ID

   Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Das Client-ID-Verzeichnis muss ein Unterverzeichnis des Netz-IP-Verzeichnisses sein.

8. Setzen Sie die Berechtigungen für jedes Verzeichnis in der /etc/netboot-Hierarchie auf 700.

   # chmod 700 /etc/netboot/Verz-Name

   Verz-Name

   Steht für den Namen eines Verzeichnisses in der /etc/netboot-Hierarchie.

Beispiel 43–1 Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Das folgende Beispiel zeigt, wie Sie die /etc/netboot-Hierarchie für den Client 010003BA152A42 im Teilnetz 192.168.255.0 erstellen können. In diesem Beispiel sind der Benutzer nobody und die Gruppe admin Eigentümer des Webserver-Prozesses.

Die Befehle in diesem Beispiel führen folgende Aktionen durch:

• Erzeugen des Verzeichnisses /etc/netboot.

• Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.

• Setzen Sie den Besitzer des Webserver-Prozesses als Besitzer des Verzeichnisses /etc/netboot.

• Annehmen der Benutzerrolle des Webserver-Benutzers.

• Erzeugen eines Unterverzeichnisses in /etc/netboot mit dem Namen des Teilnetzes (192.168.255.0).

• Erzeugen eines Unterverzeichnisses im Teilnetzverzeichnis und benennen nach der Client-ID.

• Setzen Sie die Berechtigungen für die Unterverzeichnisse von /etc/netboot auf 700.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server

Das Programm wanboot-cgi erzeugt die Datenströme, mit welchen die folgenden Dateien vom WAN-Boot-Server zum Client übertragen werden.

• wanboot-Programm

• WAN-Boot-Dateisystem

• WAN-Boot-Miniroot

Das Programm wanboot-cgi wird mit der Installation des Betriebssystems Solaris 9 12/03 oder einer kompatiblen Version auf dem System installiert. Damit der WAN-Boot-Server auf dieses Programm zugreifen kann, kopieren Sie es in das Verzeichnis cgi-bin des WAN-Boot-Servers.

So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server

1. Melden Sie sich auf dem WAN-Boot-Server als Superuser an.

2. Kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-Server-Root/cgi-bin/wanboot-cgi

   /WAN-Server-Root

   Steht für das Root-Verzeichnis der Webserver-Software auf dem WAN-Boot-Server.

3. Setzen Sie auf dem WAN-Boot-Server die Berechtigungen für das CGI-Programm auf 755.

   # chmod 755 /WAN-Server-Root/cgi-bin/wanboot-cgi

(Optional) Konfiguration des WAN-Boot-Protokollservers

Wenn die Boot- und Installationsprotokollmeldungen auf einem anderen System als dem Client aufgezeichnet werden sollen, müssen Sie einen Protokollserver (Logging-Server) einrichten. Soll der Protokollserver bei der Installation mit HTTPS arbeiten, muss der WAN-Boot-Server als Protokollserver konfiguriert werden.

Zum Konfigurieren des Protokollservers führen Sie die nachfolgenden Schritte durch.

So konfigurieren Sie einen Protokollserver

1. Kopieren Sie das Skript bootlog-cgi in das CGI-Skriptverzeichnis des Protokollservers.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ Protokollserver-Root/cgi-bin

   Protokollserver-Root/cgi-bin

   Steht für das Verzeichnis cgi-bin im Webserver-Verzeichnis des Protokollservers.

2. Setzen Sie die Berechtigungen für das Skript bootlog-cgi auf 755.

   # chmod 755 Protokollserver-Root/cgi-bin/bootlog-cgi

3. Setzen Sie den Wert für den Parameter boot_logger in der Datei wanboot.conf.

   Geben Sie in der Datei wanboot.conf die URL des Skripts bootlog-cgi auf dem Protokollserver an.

   Weitere Informationen zum Einstellen der Parameter in der Datei wanboot.conf finden Sie in Erzeugen der Datei wanboot.conf .

   Während der Installation werden im Verzeichnis /tmp des Protokollservers Boot- und Installationsprotokollmeldungen aufgezeichnet. Die Protokolldatei erhält den Namen bootlog.Host-Name, wobei Host-Name der Host-Name des Clients ist.

Beispiel 43–2 Konfiguration eines Protokollservers für die WAN-Boot-Installation per HTTPS

Im folgenden Beispiel wird der WAN-Boot-Server als Protokollserver konfiguriert.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

(Optional) Schützen der Daten mit HTTPS

Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.

Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:

• Aktivieren Sie die SSL-Unterstützung in Ihrer Webserver-Software.

  Die Vorgehensweise zum Aktivieren der SSL-Unterstützung und der Client-Authentifizierung ist vom jeweiligen Webserver abhängig. Dieses Dokument enthält keine Anweisungen zum Aktivieren dieser Sicherheitsfunktionen auf dem Webserver. Die entsprechenden Informationen entnehmen Sie bitte der folgenden Dokumentation:

  • Informationen zum Aktivieren von SSL auf den Webservern SunONE und iPlanet finden Sie in den Sun ONE- und iPlanet-Dokumentationsreihen unter http://docs.sun.com.

  • Informationen zum Aktivieren von SSL auf dem Webserver Apache finden Sie im Dokumentationsprojekt unter http://httpd.apache.org/docs-project/.

  • Informationen zu hier nicht aufgeführter Webserver-Software entnehmen Sie bitte der Dokumentation zu Ihrer Webserver-Software.

• Installieren Sie digitale Zertifikate auf dem WAN-Boot-Server.

  In Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung erhalten Sie Informationen über die Verwendung von digitalen Zertifikaten mit WAN-Boot.

• Stellen Sie dem Client ein vertrauenswürdiges Zertifikat zur Verfügung.

  Wie vertrauenswürdige Zertifikate generiert werden, erfahren Sie in Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung .

• Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

  Anweisungen zum Generieren von Schlüsseln finden Sie in Erzeugen eines Hashing- und eines Chiffrierschlüssels .

• (Optional) Aktivieren Sie die Unterstützung für die Client-Authentifizierung in der Konfiguration der Webserver-Software.

  Anweisungen hierzu entnehmen Sie bitte der Dokumentation zu Ihrem Webserver.

Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.

Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:

• Teilen Sie die PKCS#12-Datei in einen privaten SSL-Schlüssel und ein vertrauenswürdiges Zertifikat auf.

• Fügen Sie das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. Dieses Zertifikat weist den Client an, den Server als vertrauenswürdig zu akzeptieren.

• (Optional) Fügen Sie den Inhalt der Datei des privaten SSL-Schlüssels in die Datei keystore des Clients in der /etc/netboot-Hierarchie ein.

Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.

Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

• Einen Überblick über die /etc/netboot-Hierarchie bietet Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie .

• Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server .

So erzeugen Sie ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client

1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

2. Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/Netz-IP/Client-ID/truststore

   p12split

   Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

   -i p12cert

   Steht für den Namen der aufzuteilenden PKCS#12-Datei.

   -t /etc/netboot/Netz-IP/Client-ID/truststore

   Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

3. (Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.

   • Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.

   • Anderenfalls fahren Sie mit Erzeugen eines Hashing- und eines Chiffrierschlüssels fort.

   1. Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei

      p12split

      Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

      -i p12cert

      Steht für den Namen der aufzuteilenden PKCS#12-Datei.

      -c /etc/netboot/Netz-IP/Client-ID/certstore

      Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

      -k Schlüsseldatei

      Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.

   2. Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.

      # wanbootutil keymgmt -i -k Schlüsseldatei \ -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa

      keymgmt -i

      Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.

      -k Schlüsseldatei

      Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.

      -s /etc/netboot/Netz-IP/Client-ID/keystore

      Gibt den Pfad zur Datei keystore des Clients an.

      -o type=rsa

      Gibt RSA als Schlüsseltyp an.

Beispiel 43–3 Generieren vertrauenswürdiger Zertifikate für die Server-Authentifizierung

Im folgenden Beispiel für die Installation des Clients 010003BA152A42 im Teilnetz 192.168.255.0 eine PKCS#12-Datei eingesetzt. Dieser Beispielbefehl extrahiert ein Zertifikat namens client.p12 aus einer PKCS#12-Datei. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Erzeugen eines Hashing- und eines Chiffrierschlüssels

Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden. In Schutz der Daten während einer WAN-Boot-Installation erhalten Sie eine Übersicht über Hashing-Schlüssel und die Verschlüsselung (Chiffrierschlüssel).

Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.

So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

2. Erzeugen Sie den HMAC SHA1-Masterschlüssel.

   # wanbootutil keygen -m

   keygen -m

   Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.

3. Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.

   # wanbootutil keygen -c -o [net=Netz-IP,{cid=Client-ID,}]type=sha1

   -c

   Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.

   -o

   Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

   (Optional) net=Nezt-IP

   Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

   (Optional) cid=Client-ID

   Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

   type=sha1

   Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.

4. Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.

   Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.

   • Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.

   • Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.

5. Chiffrierschlüssel für den Client erzeugen

   # wanbootutil keygen -c -o [net=Netz-IP,{cid=Client-ID,}]type=Schlüsseltyp

   -c

   Erzeugt den Chiffrierschlüssel für den Client.

   -o

   Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

   (Optional) net=Nezt-IP

   Gibt die Netzwerk-IP-Adresse für den Client an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

   (Optional) cid=Client-ID

   Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

   type=Schlüsseltyp

   Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.

6. Installieren Sie die Schlüssel auf dem Client-System.

   In Installation von Schlüsseln auf dem Client finden Sie Anweisungen zum Installieren von Schlüsseln auf einem Client.

Beispiel 43–4 Erzeugen der erforderlichen Schlüssel für die WAN-Boot-Installation per HTTPS

In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.255.0 generiert.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des