在运行中的客户机上安装散列密钥和加密密钥

您可以在正在运行的系统中的 wanboot program boot> 提示符下设置密钥值。如果使用此方法来安装密钥，则密钥只能用于当前的 WAN Boot 安装。

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥，请按照以下步骤进行操作。

开始之前

此过程进行了以下假设。

• 客户机系统已经打开。

• 可以通过安全连接访问客户机，例如安全 shell (ssh)。

1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

2. 显示客户机密钥的密钥值。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   客户机子网的 IP 地址。

   client-ID

   要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID，也可以是 DHCP 客户机 ID。

   key-type

   要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。

   将显示密钥的十六进制值。

3. 针对要安装的每个客户机密钥类型，重复上述步骤。

4. 在客户机上，成为超级用户或承担等效角色。

   ---

   注 –

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。

   ---

5. 在运行中的客户机上安装必要的密钥。

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   指定要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。

   key-value

   指定步骤 2 中显示的十六进制字符串。

6. 针对要安装的每个客户机密钥类型，重复上述步骤。

   密钥安装完毕后，就可以安装客户机了。有关如何安装客户机系统的说明，请参见安装客户机。

示例 13–3 在运行中的客户机系统的 OBP 中安装密钥

以下示例显示了如何在运行中的客户机的 OBP 中安装密钥。

显示 WAN Boot 服务器上的密钥值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥，请将 type=3des 更改为 type=aes 以显示加密密钥值。

在运行中的客户机的 OBP 中安装密钥。

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。

• 将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上

• 将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上

继续 WAN Boot 安装

在客户机上安装了密钥后，便可通过 WAN 安装客户机。有关说明，请参见安装客户机。

另请参见

有关如何显示密钥值的更多信息，请参见手册页 wanbootutil(1M)。

有关如何在正在运行的系统中安装密钥的其他信息，请参见 ickey(1M)。