(可選擇) 使用 HTTPS 保護資料

若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料，可以透過安全通訊端層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所述的更安全的安裝配置，您的 Web 伺服器必須使用 HTTPS。

如果您不想執行安全 WAN Boot，請略過本區段中的程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS，您必須執行以下作業。

• 在 Web 伺服器軟體中啟動安全通訊端層 (SSL) 支援。

  啟動 SSL 支援和用戶端驗證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需有關這些功能的資訊，請參閱以下說明文件。

  • 如需有關在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊，請參閱 http://docs.sun.com 上 SunONE 和 iPlanet 的說明文件集合。

  • 如需有關在 Apache Web 伺服器上啟動 SSL 的資訊，請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。

  • 如果您正在使用的 Web 伺服器軟體未在上述清單中列出，請參閱您的 Web 伺服器軟體說明文件。

• 在 WAN Boot 伺服器上安裝數位憑證。

  如需有關數位憑證搭配 WAN Boot 使用的資訊，請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。

• 向用戶端提供受信任的憑證。

  如需有關如何建立可信任的證書的資訊，請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。

• 建立雜湊金鑰和加密金鑰。

  如需有關如何建立金鑰的說明，請參閱(可選擇) 建立雜湊金鑰與加密金鑰。

• (可選擇) 將 Web 伺服器軟體配置為支援用戶端驗證。

  如需有關如何將 Web 伺服器配置為支援用戶端驗證的資訊，請參閱 Web 伺服器說明文件。

本節說明如何在 WAN Boot 安裝中使用數位憑證與金鑰。

(可選擇) 在伺服器和用戶端驗證時使用數位憑證

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求和準則，請參閱數位憑證需求。

若要在 WAN Boot 安裝中使用 PKCS#12 檔案，請執行以下作業。

• 將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案

• 將可信任的憑證插入 /etc/netboot 階層中用戶端的 truststore 檔案中。受信任的憑證會指示用戶端信任伺服器。

• (可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。

wanbootutil 指令提供了用以執行上述清單中作業的選項。

如果您不想執行安全 WAN Boot，請略過此程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

遵循這些步驟，即可建立受信任的憑證與用戶端私密金鑰。

開始之前

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

• 如需描述 /etc/netboot 階層的簡介資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。

• 如需有關如何建立 /etc/netboot 階層的指示，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

2. 從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

   -i p12cert

   指定要分割的 PKCS#12 檔案之名稱。

   -t /etc/netboot/net-ip /client-ID/truststore

   在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

3. (可選擇) 決定是否要求進行用戶端驗證。

   • 如果否的話，請前往(可選擇) 建立雜湊金鑰與加密金鑰。

   • 如果是的話，請繼續執行以下步驟。

     1. 在用戶端的 certstore 中插入用戶端憑證。

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

        -i p12cert

        指定要分割的 PKCS#12 檔案之名稱。

        -c /etc/netboot/net-ip/client-ID/certstore

        在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

        -k keyfile

        指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。

     2. 在用戶端的 keystore 中插入私密金鑰。

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        在用戶端的 keystore 中插入 SSL 私密金鑰

        -k keyfile

        指定在上一步驟中建立的用戶端私密金鑰檔案之名稱

        -s /etc/netboot/net-ip/client-ID/keystore

        指定用戶端的 keystore 的路徑。

        -o type=rsa

        將金鑰類型指定為 RSA

範例 11–6 為伺服器驗證建立受信任的憑證

在以下範例中，您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

繼續進行 WAN Boot 安裝

建立數位憑證之後，您就可以建立雜湊金鑰與加密金鑰。如需有關說明，請參閱(可選擇) 建立雜湊金鑰與加密金鑰。

另請參閱

如需有關如何建立可信任憑證的更多資訊，請參閱「wanbootutil(1M)」。

(可選擇) 建立雜湊金鑰與加密金鑰

如果要使用 HTTPS 來傳送資料，則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計劃透過一個半私有網路進行安裝，您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。

透過使用 wanbootutil keygen 指令，可以產生這些金鑰並將其儲存在相應的 /etc/netboot 目錄中。

如果您不想執行安全 WAN Boot，請略過此程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

如果要建立雜湊金鑰與加密金鑰，請遵循這些步驟。

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

2. 建立主 HMAC SHA1 金鑰。

   # wanbootutil keygen -m

   keygen -m

   為 WAN Boot 伺服器建立主 HMAC SHA1 金鑰

3. 由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   由主金鑰建立用戶端的雜湊金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇) net=net-ip

   指定用戶端的子網路的 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=sha1

   指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。

4. 決定是否需要為用戶端建立加密金鑰。

   您需要建立加密金鑰，以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前，WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊，並在安裝中使用此資訊。

   • 如果您正在執行的是一個透過 HTTPS、且進行伺服器驗證的更加安全的 WAN 安裝，請繼續。

   • 如果您只想檢查 wanboot 程式的完整性，則無需建立加密金鑰。前往步驟 6。

5. 建立用戶端的加密金鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   建立用戶端的加密金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇) net=net-ip

   指定用戶端的網路 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=key-type

   指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。

6. 在用戶端系統上安裝金鑰。

   如需有關如何在用戶端上安裝金鑰的指示，請參閱在用戶端上安裝金鑰。

範例 11–7 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的金鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42，建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

繼續進行 WAN Boot 安裝

建立雜湊與加密金鑰之後，就必須建立安裝檔案。如需有關說明，請參閱建立自訂 JumpStart 安裝檔案。

另請參閱

如需雜湊金鑰和加密金鑰的簡介資訊，請參閱在 WAN Boot 安裝期間保護資料。

如需有關如何建立雜湊金鑰和加密金鑰的更多資訊，請參閱「wanbootutil(1M)」。