(Opzionale) Usare i certificati digitali per l'autenticazione di client e server

Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.

Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:

• Suddividere il file PKCS#12 in chiave privata e file di certificato.

• Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.

• (Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.

Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.

Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per creare un certificato digitale e una chiave privata per il client, procedere come segue.

Prima di cominciare

Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.

• Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

• Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di avvio WAN.

Procedura

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip-sottorete/ID-client/truststore

   p12split

   Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

   -i p12cert

   Specifica il nome del file PKCS#12 da suddividere.

   -t /etc/netboot/ip-sottorete/ID-client/truststore

   Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

3. (Opzionale) Decidere se richiedere l'autenticazione del client.

   • In caso negativo, passare alla sezione (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

   • In caso positivo, continuare con le procedure seguenti.

     1. Inserire il certificato del client nel suo certstore.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave

        p12split

        Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

        -i p12cert

        Specifica il nome del file PKCS#12 da suddividere.

        -c /etc/netboot/ip-sottorete/ID-client/certstore

        Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

        -k file_chiave

        Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.

     2. Inserire la chiave privata nel keystore del client.

        # wanbootutil keymgmt -i -k file_chiave \ -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa

        keymgmt -i

        Inserisce la chiave privata SSL nel file keystore del client

        -k file_chiave

        Specifica il nome del file della chiave privata del client appena creato.

        -s /etc/netboot/ip-sottorete/ID-client/keystore

        Specifica il percorso del keystore del client

        -o type=rsa

        Specifica il tipo di chiave come RSA

Esempio 13–6 Creazione di un certificato digitale per l'autenticazione del server

Nell'esempio seguente, si usa un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.255.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.

Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuazione dell'installazione boot WAN

Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per le relative istruzioni, vedere(Opzionale) Creare una chiave di hashing e una chiave di cifratura.

Vedere anche

Per maggiori informazioni sulla creazione dei certificati digitali, vedere la pagina man wanbootutil(1M).