O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.
Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.
Divida o arquivo PKCS#12 em arquivos SSL separados de chave privada e certificado confiável.
Insira o certificado confiável no arquivo truststore do cliente na hierarquia /etc/netboot. O certificado confiável instrui o cliente a confiar no servidor.
(Opcional) Insira o conteúdo do arquivo da chave privada de SSL no arquivo keystore do cliente na hierarquia /etc/netboot .
O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.
Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.
Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.
Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.
Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.
Para instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.
Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.
Extraia o certificado confiável do arquivo PKCS#12. Insira o certificado no arquivo truststore do cliente na hierarquia /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.
Especifica o nome do arquivo PKCS#12 a dividir.
Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.
(Opcional) Decida se deseja exigir autenticação do cliente.
Se não, vá para (Opcional) Para criar uma chave de hashing e uma chave de criptografia.
Se sim, continue com as etapas a seguir.
Insira o certificado de cliente no certstore do cliente.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.
Especifica o nome do arquivo PKCS#12 a dividir.
Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.
Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.
Insira a chave privada no keystore do cliente.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
Insere uma chave SSL privada no keystore do cliente
Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior
Especifica o caminho para o keystore do cliente
No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.
Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.
Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).