test

Solaris 9 9/04 Installationshandbuch

Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.

Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:

Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.

Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

So erzeugen Sie ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. 


    # wanbootutil p12split -i p12cert \
  -t /etc/netboot/Netz-IP/Client-ID/truststore
    p12split

    Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

    -i p12cert

    Steht für den Namen der aufzuteilenden PKCS#12-Datei.

    -t /etc/netboot/Netz-IP/Client-ID/truststore

    Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  3. (Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.

    1. Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein. 


      # wanbootutil p12split -i p12cert -c \
  /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei
      p12split

      Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

      -i p12cert

      Steht für den Namen der aufzuteilenden PKCS#12-Datei.

      -c /etc/netboot/Netz-IP/Client-ID/certstore

      Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

      -k Schlüsseldatei

      Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.

    2. Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein. 


      # wanbootutil keymgmt -i -k Schlüsseldatei \
   -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa
      keymgmt -i

      Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.

      -k Schlüsseldatei

      Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.

      -s /etc/netboot/Netz-IP/Client-ID/keystore

      Gibt den Pfad zur Datei keystore des Clients an.

      -o type=rsa

      Gibt RSA als Schlüsseltyp an.

Beispiel 43–3 Generieren vertrauenswürdiger Zertifikate für die Server-Authentifizierung

Im folgenden Beispiel für die Installation des Clients 010003BA152A42 im Teilnetz 192.168.255.0 eine PKCS#12-Datei eingesetzt. Dieser Beispielbefehl extrahiert ein Zertifikat namens client.p12 aus einer PKCS#12-Datei. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody. 


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore