詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
次のコマンドは、X.509 ルート CA 証明書と署名 CA 証明書、サーバー証明書と非公開鍵、および AI サーバー認証のための OBP 鍵を自動的に生成します。CA 証明書と OBP 鍵は、それらがまだ存在していない場合にのみ生成されます。OBP 鍵が生成される場合、これらの鍵を設定する OBP コマンドが表示されます。
# installadm set-server -g
The root CA certificate has been generated.
The CA signing certificate request has been generated.
The signing CA certificate has been generated.
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key for server authentication only, enter
this OBP command:
set-security-key wanboot-aes 8d210964e95f2a333c5e749790633273
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key for server authentication only,
enter this OBP command:
set-security-key wanboot-hmac-sha1 4088861239fa3f3bed22f8eb885bfa476952fab4
Configuring web server security.
Changed Server
AI サーバー資格の構成についての詳細は、AI サーバー資格の構成を参照してください。
次の例は、インストールサービスを使用するためにクライアント認証が必要なセキュリティー設定を指定します。特定のインストールサービスに関連付けられているすべての AI クライアントおよびすべてのデータを保護するには、require-client-auth インストールサービスセキュリティー設定を使用して、すべての AI クライアントがサーバー認証とクライアント認証の両方でセキュリティー保護されるようにします。この例では、AI クライアントは svcname インストールサービスデータにアクセスするために X.509 資格証明を持っている必要があります。
# installadm set-service -p require-client-auth -n svcname
インストールサービスセキュリティーポリシーの構成についての詳細は、セキュアインストールサービスの構成を参照してください。
次の例は、非公開の X.509 証明書と鍵のペア、および指定された AI クライアントの認証用の X.509 CA 証明書を自動的に生成しますが、02:00:00:00:00:00 はクライアントの MAC アドレスです。MAC アドレスを指定することによって割り当てられたクライアント資格は、AI クライアントごとに固有です。CA 証明書は、これがまだ存在していない場合に生成されます。AI クライアントが SPARC システムの場合、OBP 鍵もまだそれが存在しない場合は生成され、これらの鍵を設定するための OBP コマンドが表示されます。
# installadm set-client -e 02:00:00:00:00:00 -g Generating credentials for client 02:00:00:00:00:00... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb Changed Client: '02:00:00:00:00:00'
クライアント資格の構成についての詳細は、クライアント資格の構成を参照してください。
セキュリティー資格を割り当てた SPARC クライアントの場合、AI クライアントをブートして AI インストールを開始するときに、OBP のセキュリティー鍵 (ハッシュ鍵および暗号化鍵) を設定する必要があります。次の例は、SPARC クライアントコンソール上で OBP AES 暗号化鍵を設定します。
ok set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c
次の例は、SPARC クライアントコンソール上で OBP ハッシュ (HMAC) 鍵を設定します。
ok set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb
詳細および例については、セキュアなダウンロードを使用した SPARC AI クライアントのインストールを参照してください。
セキュリティー保護された起点を持つパブリッシャーが AI マニフェストで指定された場合、publisher 要素の credentials サブ要素で鍵と証明書を指定します。詳細は、ai_manifest(4) のマニュアルページのソフトウェアセクションを参照してください。image 要素の属性で SSL 鍵と証明書を指定できますが、この鍵と証明書はマニフェストで指定された最初のパブリッシャーに対してのみ適用されます。鍵と証明書が image 要素と credentials 要素の両方で指定された場合、credentials 要素で指定された資格証明が使用されます。鍵と証明書のファイルを、AI Web サーバーのユーザー指定のディレクトリに配置することを検討してください。詳細は、Web サーバーのユーザーファイルディレクトリの構成を参照してください。