（可选）将私钥和证书用于客户机认证

为了在安装过程中进一步保护您的数据，您可能希望要求 wanclient-1 自身也向 wanserver-1 进行验证。要在您的 WAN Boot 安装中启用客户机认证，请将客户机证书和私钥插入 /etc/netboot 分层结构的客户机子目录中。

要向客户机提供私钥和证书，请执行以下任务。

• 使用与 Web 服务器用户相同的用户角色

• 将 PKCS#12 文件拆分为私钥和客户机证书

• 在客户机的 certstore 文件中插入证书

• 在客户机的 keystore 文件中插入私钥

在此示例中，假设 Web 服务器用户角色为 nobody。然后拆分名为 cert.p12 的服务器 PKCS#12 证书。您为 wanclient-1 在 /etc/netboot 分层结构中插入证书。然后在客户机的 keystore 文件中插入名为 wanclient.key 的私钥。

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa