Guide d'installation de Solaris 10 5/08 : installations réseau

(Facultatif) Protection de données à l'aide d'HTTPS

Pour protéger vos données durant le transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec Secure Sockets Layer (HTTPS). Si vous souhaitez utiliser une configuration d'installation plus sécurisée (reportez-vous à la section Configuration d'une installation et Initialisation via connexion WAN sécurisée), vous devez activer votre serveur Web pour pouvoir utiliser le protocole HTTPS.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez les procédures de cette section. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Pour ce faire, procédez comme indiqué ci-dessous.

Cette section décrit les modalités d'utilisation des clés et des certificats numériques dans votre installation et initialisation via une connexion WAN.

Procedure(Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et d'initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation sur HTTPS avec authentification serveur ou authentification serveur et client. Pour connaître les conditions requises et les instructions relatives à l'utilisation des fichiers PKCS#12, reportez-vous à la section Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

La commande wanbootutil fournit des options pour exécuter ces tâches.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Effectuez les étapes décrites ci-après pour créer un certificat de confiance et une clé privée client.

Avant de commencer

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

  1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

  2. Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.


    # wanbootutil p12split -i p12cert \
    -t /etc/netboot/ip_réseau/ID_client/truststore
    
    p12split

    Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

    -i p12cert

    Spécifie le nom du fichier PKCS#12 à diviser.

    -t /etc/netboot/ip_réseau /ID_client/truststore

    Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

  3. (Facultatif) Voulez-vous utiliser l'authentification client ?

    • Si vous ne souhaitez pas l'utiliser, consultez la section (Facultatif) Création d'une clé de hachage et de chiffrement.

    • Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-dessous.

      1. Insérez le certificat client dans le fichier certstore du client.


        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé
        
        p12split

        Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

        -i p12cert

        Spécifie le nom du fichier PKCS#12 à diviser.

        -c /etc/netboot/ip_réseau/ ID_client/certstore

        Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée SSL du client à créer à partir du fichier PKCS#12 divisé.

      2. Insérez la clé privée dans le fichier keystore du client.


        # wanbootutil keymgmt -i -k fichier_clé \
        -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa
        
        keymgmt -i

        Insère une clé privée SSL dans le fichier keystore du client.

        -k fichier_clé

        Spécifie le nom du fichier de clé privée du client créé à l'étape précédente.

        -s /etc/netboot/ip_réseau/ ID_client/keystore

        Spécifie le chemin d'accès au fichier keystore du client.

        -o type=rsa

        Spécifie le type de clé comme étant RSA


Exemple 11–6 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple indiqué ci-après, vous utilisez un fichier PKCS#12 afin d'installer le client 010003BA152A42 sur le sous-réseau 192.168.198.0. La commande extrait un certificat à partir d'un fichier PKCS#12 appelé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.

Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Poursuite de l'installation et initialisation via une connexion WAN

Une fois le certificat numérique créé, vous devez créer une clé de hachage et de chiffrement. Pour plus d'informations, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Voir aussi

Pour plus d'informations sur la procédure de création des certificats de confiance, reportez-vous à la page de manuel wanbootutil(1M).

Procedure(Facultatif) Création d'une clé de hachage et de chiffrement

Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot.

À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.

Si vous ne souhaitez pas effectuer d'initialisation via une connexion WAN sécurisée, ignorez cette procédure. Pour poursuivre les préparatifs d'une installation moins sécurisée, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Pour créer une clé de hachage et une clé de chiffrement, effectuez les opérations suivantes :

  1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

  2. Créez la clé HMAC SHA1 maîtresse.


    # wanbootutil keygen -m
    
    keygen -m

    Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via une connexion WAN.

  3. Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.


    # wanbootutil keygen -c -o [net=ip_réseau,{cid=ID_client,}]type=sha1
    
    -c

    Crée la clé de hachage du client à partir de la clé maîtresse.

    -o

    Indique que la commande wanbootutil keygen fournit des options supplémentaires.

    (Facultatif) net=ip_réseau

    Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.

    (Facultatif) cid=ID_client

    Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

    type=sha1

    Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.

  4. Choisissez de créer ou non une clé de chiffrement pour le client.

    La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.

    • Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.

    • Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Passez à l'Étape 6.

  5. Créer une clé de chiffrement pour le client.


    # wanbootutil keygen -c -o [net=ip_réseau,{cid=ID_client,}]type=type_clé
    
    -c

    Crée la clé de chiffrement du client.

    -o

    Indique que la commande wanbootutil keygen fournit des options supplémentaires.

    (Facultatif) net=ip_réseau

    Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via une connexion WAN.

    (Facultatif) cid=ID_client

    Spécifie l'ID client. Il peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

    type=type_clé

    Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.

  6. Installez les clés sur le système client.

    Pour obtenir des instructions sur l'installation de clés sur le client, consultez Installation de clés sur le client.


Exemple 11–7 Création des clés nécessaire à une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée également une clé de hachage HMAC SHA1 ainsi qu'une clé de chiffrement 3DES pour le client 010003BA152A42 sur le sous-réseau 192.168.198.0.

Pour exécuter ces commandes, vous devez utiliser le même rôle d'utilisateur que l'utilisateur du serveur Web. Dans cet exemple, le rôle de l'utilisateur du serveur Web est nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Poursuite de l'installation et initialisation via une connexion WAN

Une fois les clés de hachage et de chiffrement créées, vous devez créer les fichiers d'installation. Pour plus d'instructions, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Voir aussi

Pour obtenir des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la section Protection des données lors d'une installation et Initialisation via connexion WAN .

Pour plus d'informations sur la création des clés de hachage et de chiffrement, reportez-vous à la page de manuel wanbootutil(1M).