Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.
Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:
Suddividere il file PKCS#12 in chiave privata e file di certificato.
Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.
(Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.
Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.
Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Per creare un certificato digitale e una chiave privata per il client, procedere come segue.
Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.
Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
(Opzionale) Decidere se richiedere l'autenticazione del client.
In caso negativo, passare alla sezione (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
In caso positivo, continuare con le procedure seguenti.
Inserire il certificato del client nel suo certstore.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.
Inserire la chiave privata nel keystore del client.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
Inserisce la chiave privata SSL nel file keystore del client
Specifica il nome del file della chiave privata del client appena creato.
Specifica il percorso del keystore del client
Nell'esempio seguente, viene usato un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.198.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.
Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per le relative istruzioni, vedere(Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Per maggiori informazioni sulla creazione dei certificati digitali, vedere la pagina man wanbootutil(1M).