(Opcional) Protegendo dados utilizando HTTPS

Para proteger seus dados durante a transferência do servidor de inicialização WAN para o cliente, é possível utilizar HTTP com Secure Sockets Layer (HTTPS). Para utilizar a configuração de instalação mais segura que é descrita em Configuração de instalação de segurança inicialização WAN, é necessário ativar seu navegador da web para utilizar HTTPS.

Se não desejar realizar uma inicialização WAN segura, ignore os procedimentos desta seção. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para permitir que o software do servidor web no servidor de inicialização WAN utilize HTTPS, é necessário realizar as tarefas a seguir.

• Ative o suporte a Secure Sockets Layer (SSL) no software de seu servidor web.

  Os processos para ativar o suporte a SSL e autenticação de clientes varia de acordo com o servidor web. Este documento não descreve como ativar estes recursos de segurança em seu servidor web. Para informações sobre este recurso, consulte a documentação a seguir.

  • Para informações sobre a ativação do SSL nos servidores web SunONE e iPlanet, consulte as coleções de documentação do SunONE e do iPlanet em http://docs.sun.com.

  • Para informações sobre a ativação do SSL no servidor web Apache, consulte o Projeto de Documentação do Apache em http://httpd.apache.org/docs-project/ .

  • Se estiver utilizando um software de servidor web que não esteja na lista anterior, consulte a documentação do software de seu servidor web.

• Instale certificados digitais no servidor de inicialização WAN.

  Para informações sobre o uso de certificados digitais com o inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

• Forneça um certificado confiável ao cliente.

  Para instruções sobre como criar um certificado confiável, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

• Crie uma chave de hashing e uma chave de criptografia.

  Para instruções sobre como criar chaves, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

• (Opcional) Configure o software do servidor web para suportar autenticação de cliente.

  Para informações sobre como configurar seu servidor web para suportar autenticação de cliente, consulte a documentação de seu servidor web.

Esta seção descreve como utilizar certificados digitais e chaves em sua instalação com inicialização WAN.

(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente

O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.

Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.

• Divida o arquivo PKCS#12 em arquivos SSL separados de chave privada e certificado confiável.

• Insira o certificado confiável no arquivo truststore do cliente na hierarquia /etc/netboot. O certificado confiável instrui o cliente a confiar no servidor.

• (Opcional) Insira o conteúdo do arquivo da chave privada de SSL no arquivo keystore do cliente na hierarquia /etc/netboot .

O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.

Antes de começar

Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.

• Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.

• Para instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Extraia o certificado confiável do arquivo PKCS#12. Insira o certificado no arquivo truststore do cliente na hierarquia /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

   -i p12cert

   Especifica o nome do arquivo PKCS#12 a dividir.

   -t /etc/netboot/net-ip /client-ID/truststore

   Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.

3. (Opcional) Decida se deseja exigir autenticação do cliente.

   • Se não, vá para (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

   • Se sim, continue com as etapas a seguir.

     1. Insira o certificado de cliente no certstore do cliente.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

        -i p12cert

        Especifica o nome do arquivo PKCS#12 a dividir.

        -c /etc/netboot/net-ip/ client-ID/certstore

        Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.

        -k keyfile

        Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.

     2. Insira a chave privada no keystore do cliente.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        Insere uma chave SSL privada no keystore do cliente

        -k keyfile

        Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior

        -s /etc/netboot/net-ip/ client-ID/keystore

        Especifica o caminho para o keystore do cliente

        -o type=rsa

        Especifica o tipo de chave como RSA

Exemplo 12–6 Criando um certificado confiável para autenticação do servidor

No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuando a instalação da inicialização WAN

Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Consulte também

Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).

(Opcional) Para criar uma chave de hashing e uma chave de criptografia

Se quiser utilizar HTTPS para transmitir seus dados, é necessário criar uma chave de hashing HMAC SHA1 e uma chave de criptografia. Se planeja instalar por uma rede semi-privada, talvez não queira criptografar os dados de instalação. É possível utilizar uma chave de hashing HMAC SHA1 para verificar a integridade do programa wanboot.

Ao utilizar o comando wanbootutil keygen, é possível gerar essas chaves e armazená-las no diretório /etc/netboot apropriado.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para criar uma chave de hashing e uma chave de criptografia, siga essas etapas.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Crie uma chave mestre HMAC SHA1.

   # wanbootutil keygen -m

   keygen -m

   Cria a chave mestre HMAC SHA1 para o servidor de inicialização WAN

3. Crie a chave de hashing HMAC SHA1 para o cliente a partir da chave mestre.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   Cria a chave de hashing do cliente a partir da chave mestre.

   -o

   Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

   (Opcional) net=net-ip

   Especifica o endereço IP da subrede do cliente. Se não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

   (Opcional) cid=client-ID

   Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

   type=sha1

   Instrui o utilitário wanbootutil keygen a criar uma chave de hashing HMAC SHA1 para o cliente.

4. Decida se precisa criar uma chave de criptografia para o cliente.

   Você precisará criar uma chave de criptografia para realizar uma instalação com inicialização WAN com HTTPS. Antes do cliente estabelecer uma conexão HTTPS com o servidor de inicialização WAN, o servidor de inicialização WAN transmite os dados criptografados e as informações para o cliente. A chave de criptografia permite que o cliente descriptografe estas informações e utilize-as durante a instalação.

   • Se estiver realizando uma instalação mais segura WAN com HTTPS e com autenticação de servidor, continue.

   • Se só desejar verificar a integridade do programa wanboot, não é necessário criar uma chave de criptografia. Vá para a Etapa 6.

5. Crie uma chave de criptografia para o cliente.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   Crie a chave de criptografia do cliente.

   -o

   Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

   (Opcional) net=net-ip

   Especifica o endereço IP de rede do cliente. Se você não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

   (Opcional) cid=client-ID

   Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

   type=key-type

   Instrui o utilitário wanbootutil keygen a criar uma chave de criptografia para o cliente. key-type pode ter um valor de 3des ou aes.

6. Instale as chaves no sistema cliente.

   Para instruções sobre como instalar chaves no cliente, consulte Instalando chaves no cliente.

Exemplo 12–7 Criando as chaves necessárias para a instalação com inicialização WAN com HTTPS

O exemplo a seguir cria uma chave mestre HMAC SHA1 para o servidor de inicialização WAN. Este exemplo também cria uma chave de hashing HMAC SHA1 e chave de criptografia 3DES para o cliente 010003BA152A42 na subrede 192.168.198.0.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuando a instalação da inicialização WAN

Depois de criar um hashing e uma chave de criptografia, será preciso criar os arquivos de instalação. Para instruções, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Consulte também

Para informações de visão geral sobre chaves de hashing e chaves de criptografia, consulte Protegendo dados durante a Instalação inicialização WAN.

Para mais informações sobre como criar chaves de hashing e de criptografia, consulte a página do manual wanbootutil(1M).