(可選擇) 在伺服器和用戶端驗證時使用數位憑證

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求和準則，請參閱數位憑證需求。

若要在 WAN Boot 安裝中使用 PKCS#12 檔案，請執行以下作業。

• 將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案

• 將信任的憑證插入到用戶端 /etc/netboot 階層中的 truststore 檔案。受信任的憑證會指示用戶端信任伺服器。

• (可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。

wanbootutil 指令提供了用以執行上述清單中作業的選項。

如果您不想執行安全 WAN Boot，請略過此程序。若要繼續準備低安全性的安裝，請參閱建立自訂 JumpStart 安裝檔案。

遵循這些步驟，即可建立受信任的憑證與用戶端私密金鑰。

開始之前

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

• 如需描述 /etc/netboot 階層的簡介資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。

• 如需有關如何建立 /etc/netboot 階層的說明，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

2. 從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

   -i p12cert

   指定要分割的 PKCS#12 檔案之名稱。

   -t /etc/netboot/net-ip /client-ID/truststore

   在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

3. (可選擇) 決定是否要求進行用戶端驗證。

   • 如果否的話，請前往(可選擇) 建立雜湊金鑰與加密金鑰。

   • 如果是的話，請繼續執行以下步驟。

     1. 在用戶端的 certstore 中插入用戶端憑證。

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。

        -i p12cert

        指定要分割的 PKCS#12 檔案之名稱。

        -c /etc/netboot/net-ip/client-ID/certstore

        在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

        -k keyfile

        指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。

     2. 在用戶端的 keystore 中插入私密金鑰。

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        在用戶端的 keystore 中插入 SSL 私密金鑰

        -k keyfile

        指定在上一步驟中建立的用戶端私密金鑰檔案之名稱

        -s /etc/netboot/net-ip/client-ID/keystore

        指定用戶端的 keystore 的路徑。

        -o type=rsa

        將金鑰類型指定為 RSA

範例 12–6 為伺服器驗證建立受信任的憑證

在以下範例中，您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

繼續進行 WAN Boot 安裝

建立數位憑證之後，您就可以建立雜湊金鑰與加密金鑰。如需有關說明，請參閱(可選擇) 建立雜湊金鑰與加密金鑰。

另請參閱

如需有關如何建立可信任憑證的更多資訊，請參閱「wanbootutil(1M) 線上手冊」。