(Opzionale) Protezione dei dati con l'uso di HTTPS

Per proteggere i dati durante il trasferimento dal server di boot WAN al client, è possibile usare HTTP su Secure Sockets Layer (HTTPS). Per usare la configurazione di installazione più sicura descritta in Configurazione sicura per l'installazione boot WAN, è necessario impostare il server Web in modo che utilizzi HTTPS.

Se non si desidera eseguire un boot WAN sicuro, ignorare le procedure descritte in questa sezione. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per abilitare per l'uso di HTTPS il software server Web sul server di boot WAN, eseguire le operazioni seguenti:

• Attivare il supporto dell'SSL (Secure Sockets Layer) nel proprio software server Web.

  I processi per abilitare il supporto SSL e l'autenticazione dei client variano a seconda del server Web. Il presente documento non descrive le procedure per abilitare le funzioni di sicurezza sul server Web in uso. Per ulteriori informazioni sull'argomento, consultare i documenti seguenti:

  • Per informazioni sull'attivazione di SSL sui server Web SunONE e iPlanet, vedere le raccolte della documentazione su SunONE e iPlanet all'indirizzo http://docs.sun.com.

  • Per informazioni sull'attivazione di SSL sul server Web Apache, vedere l'Apache Documentation Project all'indirizzo http://httpd.apache.org/docs-project/.

  • Se il software in uso non è contenuto nell'elenco precedente, vedere la relativa documentazione.

• Installare i certificati digitali sul server di boot WAN.

  Per informazioni sull'uso dei certificati digitali con il boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

• Fornire un certificato digitale al client.

  Per istruzioni su come creare un certificato digitale, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

• Creare una chiave di hashing e una chiave di cifratura.

  Per istruzioni sulla creazione delle chiavi, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

• (Opzionale) Configurare il software server Web per il supporto dell'autenticazione del client.

  Per informazioni su come configurare il server Web per il supporto dell'autenticazione dei client, vedere la relativa documentazione.

Questa sezione descrive l'uso dei certificati digitali e delle chiavi nell'installazione boot WAN.

(Opzionale) Usare i certificati digitali per l'autenticazione di client e server

Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.

Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:

• Suddividere il file PKCS#12 in chiave privata e file di certificato.

• Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.

• (Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.

Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.

Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per creare un certificato digitale e una chiave privata per il client, procedere come segue.

Prima di cominciare

Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.

• Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

• Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

   -i p12cert

   Specifica il nome del file PKCS#12 da suddividere.

   -t /etc/netboot/ip-sottorete/ID-client/truststore

   Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

3. (Opzionale) Decidere se richiedere l'autenticazione del client.

   • In caso negativo, passare alla sezione (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

   • In caso positivo, continuare con le procedure seguenti.

     1. Inserire il certificato del client nel suo certstore.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

        -i p12cert

        Specifica il nome del file PKCS#12 da suddividere.

        -c /etc/netboot/ip-sottorete/ID-client/certstore

        Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

        -k file_chiave

        Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.

     2. Inserire la chiave privata nel keystore del client.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        Inserisce la chiave privata SSL nel file keystore del client

        -k file_chiave

        Specifica il nome del file della chiave privata del client appena creato.

        -s /etc/netboot/ip-sottorete/ID-client/keystore

        Specifica il percorso del keystore del client

        -o type=rsa

        Specifica il tipo di chiave come RSA

Esempio 12–6 Creazione di un certificato digitale per l'autenticazione del server

Nell'esempio seguente, viene usato un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.198.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.

Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuazione dell'installazione boot WAN

Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per le relative istruzioni, vedere(Opzionale) Creare una chiave di hashing e una chiave di cifratura.

Vedere anche

Per maggiori informazioni sulla creazione dei certificati digitali, vedere la pagina man wanbootutil(1M).

(Opzionale) Creare una chiave di hashing e una chiave di cifratura

Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si pianifica l'installazione su una rete parzialmente privata, non cifrare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot.

Con il comando wanbootutil keygen è possibile generare chiavi e memorizzarle nella directory /etc/netboot appropriata.

Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per creare una chiave di hashing e una chiave di cifratura, procedere come segue.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Creare la chiave HMAC SHA1 master.

   # wanbootutil keygen -m

   keygen -m

   Crea la chiave HMAC SHA1 master per il server di boot WAN

3. Creare la chiave di hashing HMAC SHA1 per il client dalla chiave master.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   Crea la chiave di hashing del client dalla rispettiva chiave master.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-srete

   Specifica l'indirizzo IP per la sottorete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.

   (Opzionale) cid=ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con il comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=sha1

   Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.

4. Decidere se è necessario creare una chiave di cifratura per il client.

   La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decifrare queste informazioni e di utilizzarle durante l'installazione.

   • Se si esegue un'installazione WAN più sicura con collegamento HTTPS e autenticazione del server, proseguire.

   • Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Passare al Punto 6.

5. Creare una chiave di cifratura per il client.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   Crea la chiave di cifratura per il client.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-srete

   Specifica l'indirizzo IP di rete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.

   (Opzionale) cid=ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con il comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=tipo-chiave

   Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipo-chiave può assumere il valore 3des o aes.

6. Installare le chiavi sul sistema client.

   Per istruzioni sull'installazione delle chiavi sul client, vedere Installazione delle chiavi sul client.

Esempio 12–7 Creazione delle chiavi richieste per l'installazione boot WAN con collegamento HTTPS

L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 010003BA152A42 della sottorete 192.168.198.0.

Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuazione dell'installazione boot WAN

Dopo aver creato una chiave di hashing e una chiave di cifratura, è necessario creare i file di installazione. Per le relative istruzioni, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Vedere anche

Per informazioni generali sulle chiavi di hashing e le chiavi di cifratura, vedere Protezione dei dati durante un'installazione boot WAN .

Per maggiori informazioni sulla creazione delle chiavi di hashing e di cifratura, vedere la pagina man wanbootutil(1M).