(Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et d'initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation sur HTTPS avec authentification serveur ou authentification serveur et client. Pour connaître les conditions requises et les instructions relatives à l'utilisation des fichiers PKCS#12, reportez-vous à la section Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

• Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.

• Insérez le certificat de confiance dans le fichier truststore du client dans la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.

• (Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.

La commande wanbootutil fournit des options pour exécuter ces tâches.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Effectuez les étapes décrites ci-après pour créer un certificat de confiance et une clé privée client.

Avant de commencer

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

• Pour obtenir des informations générales sur la hiérarchie /etc/netboot , reportez-vous à la section Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

• Pour obtenir des instructions à propos de la création de hiérarchie /etc/netboot , reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_réseau/ID_client/truststore

   p12split

   Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

   -i p12cert

   Spécifie le nom du fichier PKCS#12 à diviser.

   -t /etc/netboot/ip_réseau /ID_client/truststore

   Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

3. (Facultatif) Voulez-vous utiliser l'authentification client ?

   • Si vous ne souhaitez pas l'utiliser, consultez la section (Facultatif) Création d'une clé de hachage et de chiffrement.

   • Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-dessous.

     1. Insérez le certificat client dans le fichier certstore du client.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé

        p12split

        Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

        -i p12cert

        Spécifie le nom du fichier PKCS#12 à diviser.

        -c /etc/netboot/ip_réseau/ ID_client/certstore

        Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée SSL du client à créer à partir du fichier PKCS#12 divisé.

     2. Insérez la clé privée dans le fichier keystore du client.

        # wanbootutil keymgmt -i -k fichier_clé \ -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa

        keymgmt -i

        Insère une clé privée SSL dans le fichier keystore du client.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée du client créé à l'étape précédente.

        -s /etc/netboot/ip_réseau/ ID_client/keystore

        Spécifie le chemin d'accès au fichier keystore du client.

        -o type=rsa

        Spécifie le type de clé comme étant RSA

Exemple 11–6 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple indiqué ci-après, vous utilisez un fichier PKCS#12 afin d'installer le client 010003BA152A42 sur le sous-réseau 192.168.198.0. La commande extrait un certificat à partir d'un fichier PKCS#12 appelé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.

Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le certificat numérique créé, vous devez créer une clé de hachage et de chiffrement. Pour plus d'informations, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Voir aussi

Pour plus d'informations sur la procédure de création des certificats de confiance, reportez-vous à la page de manuel wanbootutil(1M).