(선택 사항) HTTPS를 사용하여 데이터 보호

WAN 부트 서버에서 클라이언트로 전송하는 동안 데이터를 보호하기 위해 Secure Sockets Layer (HTTPS)를 통한 HTTP를 사용할 수 있습니다. 보안 WAN 부트 설치 구성에서 설명하는 보안이 강화된 설치 구성을 사용하려면 웹 서버가 HTPPS를 사용하도록 설정해야 합니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 부분의 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

WAN 부트 서버의 웹 서버 소프트웨어에서 HTTPS를 사용하게 하려면 다음 작업을 수행해야 합니다.

• 웹 서버 소프트웨어에서 SSL (Secure Sockets Layer) 지원을 활성화합니다.

  SSL 지원 및 클라이언트 인증 활성화 프로세스는 웹 서버에 따라 달라집니다. 이 문서에서는 사용자 웹 서버에서 이러한 보안 기능을 활성화하는 방법에 대해 설명하지 않습니다. 이러한 기능에 대한 자세한 내용은 다음 설명서를 참조하십시오.

  • SunONE 및 iPlanet 웹 서버에서 SSL을 활성화하는 방법에 대한 자세한 내용은 http://www.oracle.com/technetwork/indexes/documentation/index.html에 있는 SunONE 및 iPlanet 설명서 모음을 참조하십시오.

  • Apache 웹 서버에서 SSL을 활성화하는 방법에 대한 자세한 내용은 http://httpd.apache.org/docs-project/의 Apache Document Project를 참조하십시오.

  • 위의 목록에 나열되어 있지 않은 웹 서버 소프트웨어를 사용하고 있는 경우 해당 웹 서버 소프트웨어 설명서를 참조하십시오.

• WAN 부트 서버에 디지털 인증서를 설치합니다.

  WAN 부트에서 디지털 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

• 클라이언트에 신뢰된 인증서를 제공합니다.

  신뢰된 인증서를 만드는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.

• 해싱 키와 암호 키를 만듭니다.

  키를 만드는 방법에 대한 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

• (선택 사항) 웹 서버 소프트웨어를 구성하여 클라이언트 인증을 지원합니다.

  클라이언트 인증을 지원하도록 웹 서버를 구성하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.

이 부분에서는 WAN 부트 설치에서 디지털 인증서와 키를 만드는 방법에 대하여 설명합니다.

(선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용

WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항과 지침은 디지털 인증서 요구 사항을 참조하십시오.

WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.

• PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.

• /etc/netboot 계층에서 클라이언트의 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.

• (선택 사항) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.

wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

신뢰된 인증서와 클라이언트 개인 키를 만들려면 다음과 같이 합니다.

시작하기 전에

PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.

• /etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.

• /etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.
2. PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.

   # wanbootutil p12split -i p12cert \
   -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

   -i p12cert

   분할할 PKCS#12 파일의 이름을 지정합니다.

   -t /etc/netboot/net-ip /client-ID/truststore

   클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

3. (옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.
   • 필요하지 않으면 (선택 사항) 해싱 키 및 암호 키 만들기로 이동합니다.
   • 필요하면 다음 단계를 계속합니다.
     1. 클라이언트의 certstore에 클라이언트 인증서를 삽입합니다.

        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

        -i p12cert

        분할할 PKCS#12 파일의 이름을 지정합니다.

        -c /etc/netboot/net-ip/ client-ID/certstore

        클라이언트의 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

        -k keyfile

        분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.

     2. 클라이언트의 keystore에 개인 키를 삽입합니다.

        # wanbootutil keymgmt -i -k keyfile \
        -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        SSL 개인 키를 클라이언트의 keystore에 삽입합니다.

        -k keyfile

        이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.

        -s /etc/netboot/net-ip/ client-ID/keystore

        클라이언트 keystore에 대한 경로를 지정합니다.

        -o type=rsa

        키 유형을 RSA로 지정합니다.

예 12-6 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기

다음 예에서 PKCS#12 파일을 사용하여 서브넷 192.168.198.0에 클라이언트 010003BA152A42를 설치합니다. 이 명령 샘플은 이름이 client.p12인 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

WAN 부트 설치 계속

디지털 인증서를 만든 후 해싱 키와 암호 키를 만듭니다. 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

참조

신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.

(선택 사항) 해싱 키 및 암호 키 만들기

HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다.

wanbootutil keygen 명령을 사용하여 해당 키를 생성하고 이러한 키를 해당 /etc/netboot 디렉토리에 저장할 수 있습니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

해싱 키와 암호 키를 만들려면 다음과 같이 합니다.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.
2. 마스터 HMAC SHA1 키를 만듭니다.

   # wanbootutil keygen -m

   keygen -m

   WAN 부트 서버용 마스터 HMAC SHA1 키를 만듭니다.

3. 해당 마스터 키에서 클라이언트의 HMAC SHA1 해싱 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (선택 사항) net=net-ip

   클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

   (선택 사항) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=sha1

   wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.

4. 클라이언트에 대해 암호 키를 만들어야 할지 여부를 결정합니다.

   HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.

   • 서버 인증을 사용하여 HTTPS를 통한 보다 안전한 WAN 설치를 수행하고 있다면 계속하십시오.

   • wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 단계 6로 이동합니다.

5. 클라이언트에 대한 암호 키를 만듭니다.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   클라이언트의 암호 키를 만듭니다.

   -o

   wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.

   (선택 사항) net=net-ip

   클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.

   (선택 사항) cid=client-ID

   클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자가 정의한 ID이거나 DHCP 클라이언트 ID입니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.

   type=key-type

   wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type은 3des 또는 aes 값일 수 있습니다.

6. 클라이언트 시스템에 키를 설치합니다.

   클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.

예 12-7 HTTPS를 통한 WAN 부트 설치 시 필요한 키 만들기

다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 이 예에서는 또한 서브넷 192.168.198.0에서 클라이언트 010003BA152A42에 대한 HMAC SHA1 해싱 키 및 3DES 암호 키를 만듭니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

WAN 부트 설치 계속

해싱 키 및 암호 키를 만든 후 설치 파일을 만들어야 합니다. 자세한 내용은 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

참조

해싱 키와 암호 키에 대한 개요 정보는 WAN 부트 설치 시 데이터 보호 를 참조하십시오.

해싱 키 및 암호 키를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.