(可選擇) 使用 HTTPS 保護資料

若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料，可以透過安全通訊端層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所述的更安全的安裝配置，您的 Web 伺服器必須使用 HTTPS。

如果您不想執行安全 WAN Boot，請略過本區段中的程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS，您必須執行以下作業。

• 在 Web 伺服器軟體中啟動安全通訊端層 (SSL) 支援。

  啟動 SSL 支援和用戶端驗證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需這些功能的資訊，請參閱以下說明文件。

  • 如需在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊，請參閱 http://www.oracle.com/technetwork/indexes/documentation/index.html 上 SunONE 和 iPlanet 的文件集合。

  • 如需在 Apache Web 伺服器上啟動 SSL 的資訊，請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。

  • 如果您正在使用的 Web 伺服器軟體未在上述清單中列出，請參閱您的 Web 伺服器軟體說明文件。

• 在 WAN Boot 伺服器上安裝數位憑證。

  如需數位憑證搭配 WAN Boot 使用的資訊，請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。

• 向用戶端提供受信任的憑證。

  如需如何建立可信任的證書的資訊，請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。

• 建立雜湊金鑰和加密金鑰。

  如需如何建立金鑰的說明，請參閱(可選擇) 建立雜湊金鑰與加密金鑰。

• (可選擇) 將 Web 伺服器軟體配置為支援用戶端驗證。

  如需如何將 Web 伺服器配置為支援用戶端驗證的資訊，請參閱 Web 伺服器說明文件。

本節說明如何在 WAN Boot 安裝中使用數位憑證與金鑰。

(可選擇) 在伺服器和用戶端驗證時使用數位憑證

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需使用 PKCS#12 檔案的需求和準則，請參閱數位憑證需求。

若要在 WAN Boot 安裝中使用 PKCS#12 檔案，請執行以下作業。

• 將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案。

• 將信任的憑證插入到用戶端 /etc/netboot 階層中的 truststore 檔案。受信任的憑證會指示用戶端信任伺服器。

• (可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。

wanbootutil 指令提供了用以執行上述清單中作業的選項。

如果您不想執行安全 WAN Boot，請略過此程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

遵循這些步驟，即可建立受信任的憑證與用戶端私密金鑰。

開始之前

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

• 如需描述 /etc/netboot 階層的簡介資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。

• 如需如何建立 /etc/netboot 階層的說明，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
2. 從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。

   # wanbootutil p12split -i p12cert \
   -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

   -i p12cert

   指定要分割的 PKCS#12 檔案之名稱。

   -t /etc/netboot/net-ip /client-ID/truststore

   在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

3. (可選擇) 決定是否要求進行用戶端驗證。
   • 如果否的話，請前往(可選擇) 建立雜湊金鑰與加密金鑰。
   • 如果是的話，請繼續執行以下步驟。
     1. 在用戶端的 certstore 中插入用戶端憑證。

        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

        -i p12cert

        指定要分割的 PKCS#12 檔案之名稱。

        -c /etc/netboot/net-ip/client-ID/certstore

        在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

        -k keyfile

        指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。

     2. 在用戶端的 keystore 中插入私密金鑰。

        # wanbootutil keymgmt -i -k keyfile \
        -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        在用戶端的 keystore 中插入 SSL 私密金鑰

        -k keyfile

        指定在上一步驟中建立的用戶端私密金鑰檔案之名稱

        -s /etc/netboot/net-ip/client-ID/keystore

        指定用戶端的 keystore 的路徑。

        -o type=rsa

        將金鑰類型指定為 RSA

範例 12-6 為伺服器驗證建立受信任的憑證

在以下範例中，您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

繼續進行 WAN Boot 安裝

建立數位憑證之後，您就可以建立雜湊金鑰與加密金鑰。如需說明，請參閱(可選擇) 建立雜湊金鑰與加密金鑰。

另請參閱

如需如何建立可信任憑證的更多資訊，請參閱「wanbootutil(1M) 線上手冊」。

(可選擇) 建立雜湊金鑰與加密金鑰

如果要使用 HTTPS 來傳送資料，則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計劃透過一個半私有網路進行安裝，您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。

透過使用 wanbootutil keygen 指令，可以產生這些金鑰並將其儲存在相應的 /etc/netboot 目錄中。

如果您不想執行安全 WAN Boot，請略過此程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

如果要建立雜湊金鑰與加密金鑰，請遵循這些步驟。

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
2. 建立主 HMAC SHA1 金鑰。

   # wanbootutil keygen -m

   keygen -m

   為 WAN Boot 伺服器建立主 HMAC SHA1 金鑰

3. 由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   由主金鑰建立用戶端的雜湊金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇) net=net-ip

   指定用戶端的子網路的 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=sha1

   指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。

4. 決定是否需要為用戶端建立加密金鑰。

   您需要建立加密金鑰，以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前，WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊，並在安裝期間使用此資訊。

   • 如果您正在執行的是一個透過 HTTPS、且進行伺服器驗證的更加安全的 WAN 安裝，請繼續。

   • 如果您只想檢查 wanboot 程式的完整性，則無需建立加密金鑰。前往步驟 6。

5. 建立用戶端的加密金鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   建立用戶端的加密金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇) net=net-ip

   指定用戶端的網路 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=key-type

   指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。

6. 在用戶端系統上安裝金鑰。

   如需如何在用戶端上安裝金鑰的說明，請參閱在用戶端上安裝金鑰。

範例 12-7 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的金鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42，建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

繼續進行 WAN Boot 安裝

建立雜湊與加密金鑰之後，就必須建立安裝檔案。如需說明，請參閱建立自訂 JumpStart 安裝檔案。

另請參閱

如需雜湊金鑰和加密金鑰的簡介資訊，請參閱在 WAN Boot 安裝期間保護資料。

如需如何建立雜湊金鑰和加密金鑰的更多資訊，請參閱「wanbootutil(1M) 線上手冊」。