Oracle Solaris 10 9/10 安装指南:基于网络的安装

Procedure(可选)使用数字证书进行服务器和客户机认证

WAN Boot 安装方法可以使用 PKCS#12 文件,以通过带有服务器认证/客户机和服务器认证的 HTTPS 来执行安装。有关使用 PKCS#12 文件的要求和指南,请参见数字证书要求

要在 WAN Boot 安装中使用 PKCS#12 文件,请执行以下任务。

wanbootutil 命令提供了执行前面列表中的任务的选项。

如果您不想执行安全的 WAN Boot,请跳过此过程。要继续准备安全性较低的安装,请参见创建自定义 JumpStart 安装文件

要创建受信任证书和客户机私钥,请执行以下步骤。

开始之前

拆分 PKCS#12 文件之前,请在 WAN Boot 服务器上创建 /etc/netboot 分层结构的相应子目录。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 从 PKCS#12 文件中提取受信任证书。将证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。


    # wanbootutil p12split -i p12cert \
    -t /etc/netboot/net-ip/client-ID/truststore
    
    p12split

    wanbootutil 命令的选项,用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

    -i p12cert

    指定要拆分的 PKCS#12 文件的名称。

    -t /etc/netboot/net-ip /client-ID/truststore

    将证书插入客户机的 truststore 文件中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

  3. (可选的)确定是否需要客户机认证。

    • 如果不需要,请转至(可选)创建一个散列密钥和一个加密密钥

    • 如果是,请继续执行以下步骤。

      1. 将客户机证书插入客户机的 certstore 中。


        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/net-ip/client-ID/certstore -k keyfile
        
        p12split

        wanbootutil 命令的选项,用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

        -i p12cert

        指定要拆分的 PKCS#12 文件的名称。

        -c /etc/netboot/net-ip/ client-ID/certstore

        将客户机证书插入客户机的 certstore 中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

        -k keyfile

        指定通过拆分 PKCS#12 文件而创建的客户机 SSL 私钥文件的名称。

      2. 将私钥插入客户机的 keystore 中。


        # wanbootutil keymgmt -i -k keyfile \
        -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
        
        keymgmt -i

        在客户机的 keystore 中插入 SSL 私钥

        -k keyfile

        指定在上一步中创建的客户机私钥文件的名称

        -s /etc/netboot/net-ip/ client-ID/keystore

        指定指向客户机的 keystore 的路径

        -o type=rsa

        将密钥类型指定为 RSA


示例 12–6 创建用于服务器认证的受信任证书

在以下示例中,您可以在子网 192.168.198.0 上使用 PKCS#12 文件安装客户机 010003BA152A42。此命令样例首先从名为 client.p12 的 PKCS#12 文件中提取一个证书,然后将受信任证书的内容放入客户机的 truststore 文件中。

在执行这些命令之前,您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

继续 WAN Boot 安装

创建数字证书后,请创建一个散列密钥和一个加密密钥。有关说明,请参见(可选)创建一个散列密钥和一个加密密钥

另请参见

有关如何创建受信任证书的更多信息,请参见手册页 wanbootutil(1M)