（可选）使用数字证书进行服务器和客户机认证

WAN Boot 安装方法可以使用 PKCS#12 文件，以通过带有服务器认证/客户机和服务器认证的 HTTPS 来执行安装。有关使用 PKCS#12 文件的要求和指南，请参见数字证书要求。

要在 WAN Boot 安装中使用 PKCS#12 文件，请执行以下任务。

• 将 PKCS#12 文件拆分为独立的 SSL 私钥文件和受信任证书文件。

• 将受信任证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。受信任证书将指示客户机信任服务器。

• （可选）将 SSL 私钥文件的内容插入 /etc/netboot 分层结构中客户机的 keystore 文件中。

wanbootutil 命令提供了执行前面列表中的任务的选项。

如果您不想执行安全的 WAN Boot，请跳过此过程。要继续准备安全性较低的安装，请参见创建自定义 JumpStart 安装文件。

要创建受信任证书和客户机私钥，请执行以下步骤。

开始之前

拆分 PKCS#12 文件之前，请在 WAN Boot 服务器上创建 /etc/netboot 分层结构的相应子目录。

• 有关描述 /etc/netboot 分层结构的概述信息，请参见在 /etc/netboot 分层结构中存储配置和安全信息。

• 有关如何创建 /etc/netboot 分层结构的说明，请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构。

1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

2. 从 PKCS#12 文件中提取受信任证书。将证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   wanbootutil 命令的选项，用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

   -i p12cert

   指定要拆分的 PKCS#12 文件的名称。

   -t /etc/netboot/net-ip /client-ID/truststore

   将证书插入客户机的 truststore 文件中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

3. （可选的）确定是否需要客户机认证。

   • 如果不需要，请转至（可选）创建一个散列密钥和一个加密密钥。

   • 如果是，请继续执行以下步骤。

     1. 将客户机证书插入客户机的 certstore 中。

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        wanbootutil 命令的选项，用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

        -i p12cert

        指定要拆分的 PKCS#12 文件的名称。

        -c /etc/netboot/net-ip/ client-ID/certstore

        将客户机证书插入客户机的 certstore 中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

        -k keyfile

        指定通过拆分 PKCS#12 文件而创建的客户机 SSL 私钥文件的名称。

     2. 将私钥插入客户机的 keystore 中。

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        在客户机的 keystore 中插入 SSL 私钥

        -k keyfile

        指定在上一步中创建的客户机私钥文件的名称

        -s /etc/netboot/net-ip/ client-ID/keystore

        指定指向客户机的 keystore 的路径

        -o type=rsa

        将密钥类型指定为 RSA

示例 12–6 创建用于服务器认证的受信任证书

在以下示例中，您可以在子网 192.168.198.0 上使用 PKCS#12 文件安装客户机 010003BA152A42。此命令样例首先从名为 client.p12 的 PKCS#12 文件中提取一个证书，然后将受信任证书的内容放入客户机的 truststore 文件中。

在执行这些命令之前，您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中，Web 服务器用户角色为 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

继续 WAN Boot 安装

创建数字证书后，请创建一个散列密钥和一个加密密钥。有关说明，请参见（可选）创建一个散列密钥和一个加密密钥。

另请参见

有关如何创建受信任证书的更多信息，请参见手册页 wanbootutil(1M)。