test

Oracle Solaris 10 9/10 安裝指南:網路安裝

Procedure(可選擇) 建立雜湊金鑰與加密金鑰

如果要使用 HTTPS 來傳送資料,則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計劃透過一個半私有網路進行安裝,您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。

透過使用 wanbootutil keygen 指令,可以產生這些金鑰並將其儲存在相應的 /etc/netboot 目錄中。

如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案

如果要建立雜湊金鑰與加密金鑰,請遵循這些步驟。

  1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

  2. 建立主 HMAC SHA1 金鑰。


    # wanbootutil keygen -m
    keygen -m

    為 WAN Boot 伺服器建立主 HMAC SHA1 金鑰

  3. 由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    -c

    由主金鑰建立用戶端的雜湊金鑰。

    -o

    指出 wanbootutil keygen 指令中包含了其他的選項。

    (可選擇) net=net-ip

    指定用戶端的子網路的 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。

    (可選擇) cid=client-ID

    指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

    type=sha1

    指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。

  4. 決定是否需要為用戶端建立加密金鑰。

    您需要建立加密金鑰,以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前,WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊,並在安裝期間使用此資訊。

    • 如果您正在執行的是一個透過 HTTPS、且進行伺服器驗證的更加安全的 WAN 安裝,請繼續。

    • 如果您只想檢查 wanboot 程式的完整性,則無需建立加密金鑰。前往步驟 6

  5. 建立用戶端的加密金鑰。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    -c

    建立用戶端的加密金鑰。

    -o

    指出 wanbootutil keygen 指令中包含了其他的選項。

    (可選擇) net=net-ip

    指定用戶端的網路 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。

    (可選擇) cid=client-ID

    指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

    type=key-type

    指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。

  6. 在用戶端系統上安裝金鑰。

    如需如何在用戶端上安裝金鑰的說明,請參閱在用戶端上安裝金鑰

範例 12–7 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的金鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42,建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。

在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
繼續進行 WAN Boot 安裝

建立雜湊與加密金鑰之後,就必須建立安裝檔案。如需說明,請參閱建立自訂 JumpStart 安裝檔案

另請參閱

如需雜湊金鑰和加密金鑰的簡介資訊,請參閱在 WAN Boot 安裝期間保護資料

如需如何建立雜湊金鑰和加密金鑰的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。