WAN Boot 安裝方法可以使用 PKCS#12 檔案,透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位憑證需求。
若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下作業。
將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案
將信任的憑證插入到用戶端 /etc/netboot 階層中的 truststore 檔案。受信任的憑證會指示用戶端信任伺服器。
(可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。
wanbootutil 指令提供了用以執行上述清單中作業的選項。
如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
遵循這些步驟,即可建立受信任的憑證與用戶端私密金鑰。
在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。
如需描述 /etc/netboot 階層的簡介資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
如需有關如何建立 /etc/netboot 階層的說明,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
(可選擇) 決定是否要求進行用戶端驗證。
如果否的話,請前往(可選擇) 建立雜湊金鑰與加密金鑰。
如果是的話,請繼續執行以下步驟。
在用戶端的 certstore 中插入用戶端憑證。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。
在用戶端的 keystore 中插入私密金鑰。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
在以下範例中,您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。
在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
建立數位憑證之後,您就可以建立雜湊金鑰與加密金鑰。如需有關說明,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
如需有關如何建立可信任憑證的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。