Solaris 10 10/09 インストールガイド (ネットワークインストール)

WAN ブートインストール時のデータの保護

WAN ブートインストールでは、ハッシュキー、暗号化鍵、およびデジタル証明書を使って、インストール中にシステムデータを保護できます。ここでは、WAN ブートインストールでサポートされている各種のデータ保護方法について簡単に説明します。

ハッシュキーによるデータ完全性のチェック

WAN ブートサーバーからクライアントに転送するデータを保護するために、HMAC (Hashed Message Authentication Code) キーを生成できます。このハッシュキーを、WAN ブートサーバーとクライアントの両方にインストールします。WAN ブートサーバーはこのキーを使って、クライアントに転送するデータに署名します。クライアントはこのキーを使って、WAN ブートサーバーから転送されるデータの完全性を確認します。クライアントにハッシュキーをインストールすると、クライアントは以降の WAN ブートインストールにこのキーを使用します。

ハッシュキーの使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

暗号化鍵によるデータの暗号化

WAN ブートインストールでは、WAN ブートサーバーからクライアントに転送するデータを暗号化できます。WAN ブートのユーティリティーを使って、3DES (Triple Data Encryption Standard) または AES (Advanced Encryption Standard) の暗号化鍵を作成できます。この鍵を、WAN ブートサーバーとクライアントの両方に渡します。WAN ブートサーバーはこの暗号化鍵を使って、クライアントに転送するデータを暗号化します。クライアントはこの鍵を使って、インストール時に暗号化されて転送された構成ファイルとセキュリティーファイルを、復号化できます。

クライアントに暗号化鍵をインストールすると、クライアントは以降の WAN ブートインストールにこの鍵を使用します。

サイトで暗号化鍵の使用が許可されていない場合もあります。サイトで暗号化を使用できるかどうかについては、サイトのセキュリティー管理者に問い合わせてください。サイトで暗号化を使用できる場合は、3DES 暗号化鍵または AES 暗号化鍵のどちらを使用すべきかを、セキュリティー管理者に尋ねてください。

暗号化鍵の使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

HTTPS によるデータの保護

WAN ブートでは、WAN ブートサーバーとクライアントの間のデータ転送に HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。HTTPS を使用すると、サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に身分証明を行うよう要求できます。また、HTTPS では、インストール時にサーバーからクライアントに転送されるデータが暗号化されます。

HTTPS では、ネットワーク上でデータを交換するシステムに対して、デジタル証明書による認証が行われます。デジタル証明書は、オンライン通信を行うときにシステム (サーバーまたはクライアント) が信頼できるシステムであることを示すためのファイルです。外部の認証局に依頼してデジタル証明書を取得するか、独自の証明書と認証局を作成します。

クライアントがサーバーを信頼してサーバーからのデータを受け入れるようにするには、サーバーにデジタル証明書をインストールする必要があります。次に、この証明書を信頼するようにクライアントに指示します。サーバーに対して身分証明を行うよう、クライアントに要求することもできます。そのためには、クライアントにデジタル証明書を用意します。次に、インストール時にクライアントが証明書を提出したらその証明書の署名者を受け入れるように、サーバーに指示します。

インストール時にデジタル証明書を使用するには、HTTPS を使用するように Web サーバーを構成する必要があります。HTTPS の使用方法については、Web サーバーのマニュアルを参照してください。

WAN ブートインストールでデジタル証明書を使用するための要件については、「デジタル証明書の要件」を参照してください。WAN ブートインストールでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。