Installazione delle chiavi sul client

Per un'installazione boot WAN più sicura o un'installazione non sicura con il controllo di integrità dei dati, occorre installare le chiavi sul client. Usando una chiave di hashing e una di cifratura, è possibile proteggere i dati trasmessi al client. Le chiavi si possono installare con i metodi seguenti:

• Impostare le variabili OBP – è possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio di rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.

• Inserire i valori delle chiavi durante il processo di boot – è possibile impostare i valori delle chiavi al prompt del programma wanboot boot>. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.

Le chiavi si possono installare anche nella OBP di un client in esecuzione. Per installare le chiavi su un client in esecuzione, il sistema deve eseguire il sistema operativo Solaris 9 12/03 o una versione compatibile.

All'installazione delle chiavi sul client, accertarsi che i valori non vengano trasmessi tramite un collegamento non sicuro. Per garantire la riservatezza dei valori delle chiavi, attenersi strettamente alle politiche di sicurezza del sito.

• Per istruzioni su come assegnare i valori delle chiavi alle variabili degli argomenti di boot di rete OBP, vedere Installare le chiavi nella OBP del client.

• Per istruzioni sull'installazione delle chiavi durante il processo di boot, vedere Eseguire un'installazione boot WAN interattiva.

• Per istruzioni su come installare le chiavi nella OBP di un client in esecuzione,vedere Installare una chiave di hashing e una di cifratura su un client in esecuzione.

Installare le chiavi nella OBP del client

È possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio in rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.

Per installare le chiavi nella OBP del client, procedere come segue.

Per assegnare i valori delle chiavi alle variabili degli argomenti del boot di rete OBP, attenersi alla procedura seguente.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip-rete

   L'indirizzo IP della sottorete del client.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave da installare.

4. Portare il sistema client al livello di esecuzione 0.

   # init 0

   Viene visualizzato il prompt ok.

5. Al prompt ok del client, impostare il valore della chiave di hashing.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   Installa la chiave sul client

   wanboot-hmac-sha1

   Istruisce la OBP di installare una chiave di hashing HMAC SHA1

   valore-chiave

   Specifica la stringa esadecimale visualizzata al Punto 2.

   La chiave di hashing HMAC SHA1 è installata nel client OBP.

6. Al prompt ok del client, installare la chiave di cifratura.

   ok set-security-key wanboot-3des key-value

   set-security-key

   Installa la chiave sul client

   wanboot-3des

   Istruisce la OBP di installare una chiave di cifratura 3DES. Per usare una chiave di cifratura AES, impostare questo valore su wanboot-aes.

   valore-chiave

   Specifica la stringa esadecimale che rappresenta la chiave di cifratura.

   La chiave di cifratura 3DES è installata nella OBP del client.

   Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.

7. (Opzionale) Verificare che le chiavi siano impostate nella OBP del client.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Opzionale) Per eliminare una chiave, digitare il comando seguente:

   ok set-security-key key-type

   tipo-chiave

   Specifica il tipo di chiave da eliminare. Usare il valore wanboot-hmac-sha1, wanboot-3des, o wanboot-aes.

Esempio 13–2 Installazione delle chiavi nella OBP del client

L'esempio mostra come installare una chiave di hashing e una chiave di cifratura nella OBP del client.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes per visualizzare il valore della chiave di cifratura.

Installare le chiavi sul sistema client.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client

  Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes.

Continuazione dell'installazione boot WAN

Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.

Vedere anche

Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).

Installare una chiave di hashing e una di cifratura su un client in esecuzione

È possibile impostare i valori delle chiavi al prompt boot> del programma wanboot su un sistema in esecuzione. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.

Per installare una chiave di hashing e una chiave di cifratura nella OBP di un client in esecuzione, attenersi alla procedura seguente.

Prima di cominciare

Nella procedura, si ipotizza quanto segue:

• Il sistema client è alimentato.

• Il client è accessibile tramite un collegamento sicuro, come una shell sicura (ssh).

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   ip-rete

   L'indirizzo IP della sottorete del client.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave da installare.

4. Diventare superutente o assumere un ruolo equivalente sul client.

5. Installare le chiavi necessarie sul sistema client in esecuzione.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   tipo-chiave

   Specifica il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   valore-chiave

   Specifica la stringa esadecimale visualizzata al Punto 2.

6. Ripetere la procedura precedente per ogni tipo di chiave da installare.

   Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.

Esempio 13–3 Installazione delle chiavi nella OBP di un sistema client in esecuzione

L'esempio seguente mostra come installare le chiavi nella OBP di un client in esecuzione.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.

Installare le chiave nella OBP del client in esecuzione.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client

Continuazione dell'installazione boot WAN

Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.

Vedere anche

Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).

Per maggiori informazioni su come installare le chiavi su un sistema in esecuzione, vedere ickey(1M).