test

Solaris 9 12/03 Installationshandbuch

Einsatz digitaler Zertifikate für die Server- und Client-Authentifizierung

Das WAN-Boot-Installationsverfahren bietet die Möglichkeit des Einsatzes von PKCS#12-Dateien für die Durchführung von Installationen per HTTPS mit Server- oder Server- und Client-Authentifizierung. Voraussetzungen und Richtlinien für den Einsatz von PKCS#12-Dateien finden Sie in Voraussetzungen für digitale Zertifikate.

Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:

Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.

Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

So erzeugen Sie ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.


    # wanbootutil p12split -i p12cert \
  -t /etc/netboot/Netz-IP/Client-ID/truststore
    p12split

    Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

    -i p12cert

    Steht für den Namen der aufzuteilenden PKCS#12-Datei.

    -t /etc/netboot/Netz-IP/Client-ID/truststore

    Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  3. (Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.

    1. Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.


      # wanbootutil p12split -i p12cert -c \
  /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei
      p12split

      Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

      -i p12cert

      Steht für den Namen der aufzuteilenden PKCS#12-Datei.

      -c /etc/netboot/Netz-IP/Client-ID/certstore

      Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

      -k Schlüsseldatei

      Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.

    2. Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.


      # wanbootutil keymgmt -i -k Schlüsseldatei \
   -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa
      keymgmt -i

      Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.

      -k Schlüsseldatei

      Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.

      -s /etc/netboot/Netz-IP/Client-ID/keystore

      Gibt den Pfad zur Datei keystore des Clients an.

      -o type=rsa

      Gibt RSA als Schlüsseltyp an.

Beispiel 40–2 Generieren vertrauenswürdiger Zertifikate für die Server-Authentifizierung

In folgendem Beispiel wird der Client 010003BA152A42 im Teilnetz 192.168.255.0 unter Verwendung einer PKCS#12-Datei installiert. Dabei wird aus einer PKCS#12-Datei namens client.p12 ein Zertifikat extrahiert. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.


# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore