(Facultatif) Protection de données à l'aide d'HTTPS

Pour protéger vos données au cours du transfert du serveur d'initialisation via connexion WAN vers le client, vous pouvez utiliser l'HTTP avec le protocole SSL (HTTPS). Pour utiliser la configuration d'installation la plus sécurisée telle que décrite à la rubrique Configuration d'une installation et Initialisation via connexion WAN sécurisée, vous devez activer votre serveur Web pour l'utilisation d'HTTPS.

Pour ce faire, procédez comme indiqué ci-dessous.

• Activez la prise en charge du protocole SSL dans le logiciel du serveur Web.

  Les processus d'activation de la prise en charge SSL et de l'authentification client varient d'un serveur Web à l'autre. Ce document n'indique pas comment activer les fonctions de sécurité sur votre serveur Web. Pour obtenir des informations sur ces fonctions, reportez-vous à la documentation indiquée ci-dessous.

  • Pour des informations sur l'activation du protocole SSL sur les serveurs Web SunONE et iPlanet web, reportez-vous à la documentation Sun ONE et iPlanet à l'adresse suivante http://docs.sun.com.

  • Pour des informations sur l'activation du SSL sur le serveur Web Apache, reportez-vous au projet de documentation Apache à l'adresse suivante http://httpd.apache.org/docs-project/.

  • Si le serveur Web que vous utilisez n'est pas mentionné ci-dessus, reportez-vous à la documentation relative à ce dernier.

• Installez des certificats numériques sur le serveur d'initialisation via connexion WAN.

  Pour de plus amples informations sur l'utilisation des certificats numériques dans le cadre d'une initialisation via connexion WAN, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.

• Fournissez un certificat de confiance au client.

  Pour consulter la procédure de création d'un certificat de confiance, reportez-vous à la rubrique Utilisation de certificats numériques pour l'authentification serveur et client.

• Créez une clé de hachage et une clé de chiffrement.

  Pour consulter la procédure de création des clés, reportez-vous à la rubrique Création d'une clé de hachage et d'une clé de chiffrement.

• (Facultatif) Configurez le logiciel du serveur Web pour la prise en charge de l'authentification client.

  Pour de plus amples informations sur la procédure de configuration d'un serveur Web pour la prise en charge de l'authentification client, reportez-vous à la documentation de votre serveur Web.

Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation à travers HTTPS avec authentification serveur ou authentification client et serveur. Pour les conditions et directives sur l'utilisation des fichiers PKCS#12, reportez-vous à la rubrique Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

• Divisez le fichier PKCS#12 en deux fichiers séparés, clé privée SSL et certificat de confiance.

• Insérez le certificat de confiance dans le fichier client truststore de la hiérarchie /etc/netboot. Le certificat invite le client à se fier au serveur.

• (Facultatif) Insérez le contenu du fichier de la clé privée SSL dans le fichier client keystore de la hiérarchie /etc/netboot.

La commande wanbootutil fournit des options pour exécuter ces tâches.

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

• Pour des informations d'ensemble sur la hiérarchie /etc/netboot, reportez-vous à la rubrique Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot.

• Pour consulter la procédure de création de la hiérarchie /etc/netboot, reportez-vous à la rubrique Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Création d'un certificat de confiance et d'une clé privée client

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_réseau/ID_client/truststore

   p12split

   Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

   -i p12cert

   Spécifie le nom du fichier PKCS#12 à diviser.

   -t /etc/netboot/ip_réseau/ID_client/truststore

   Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.

3. (Facultatif) Voulez-vous utiliser l'authentification client ?

   • Si vous souhaitez l'utiliser, poursuivez avec les étapes indiquées ci-desssous.

   • Dans le cas contraire, allez directement à Création d'une clé de hachage et d'une clé de chiffrement.

   1. Insérez le certificat client dans le fichier certstore du client.

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé

      p12split

      Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

      -i p12cert

      Spécifie le nom du fichier PKCS#12 à diviser.

      -c /etc/netboot/ip_réseau/ID_client/certstore

      Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.

      -k fichier_clé

      Spécifie le nom du fichier de clé privée SSL client à créer à partir du fichier PKCS#12 divisé.

   2. Insérez la clé privée dans le fichier keystore du client.

      # wanbootutil keymgmt -i -k fichier_clé \ -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa

      keymgmt -i

      Insère une clé privée SSL dans le fichier keystore du client.

      -k fichier_clé

      Spécifie le nom du fichier de clé privée client créé à l'étape précédente.

      -s /etc/netboot/ip_réseau/ID_client/keystore

      Spécifie le chemin d'accès au fichier keystore du client.

      -o type=rsa

      Spécifie le type de clé comme RSA.

Exemple 40–2 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple suivant, vous utilisez un fichier PKCS#12 pour installer le client 010003BA152A42 sur le sous-réseau 192.168.255.0. Cette commande extrait du fichier PKCS#12 un certificat nommé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.

# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Création d'une clé de hachage et d'une clé de chiffrement

Si vous souhaitez utiliser l'HTTPS pour la transmission des données, vous devez créer une clé de hachage HMAC SHA1 et une clé de chiffrement. Si vous envisagez une installation sur un réseau semi-privé, vous ne souhaitez peut-être pas chiffrer les données d'installation. Vous pouvez utiliser une clé de hachage HMAC SHA1 pour vérifier l'intégrité du programme wanboot. Pour des informations générales sur les clés de hachage et de chiffrement, reportez-vous à la rubrique Protection des données lors d'une installation et Initialisation via connexion WAN .

À l'aide de la commande wanbootutil keygen, vous pouvez générer ces clés et les stocker dans le répertoire /etc/netboot approprié.

Procédure de création d'une clé de hachage et d'une clé de chiffrement

1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

2. Créez la clé HMAC SHA1 maîtresse.

   # wanbootutil keygen -m

   keygen -m

   Crée la clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN

3. Créez la clé de hachage HMAC SHA1 pour le client à partir de la clé maîtresse.

   # wanbootutil keygen -c -o [net=ip_réseau,{cid=ID_client,}]type=sha1

   -c

   Crée la clé de hachage client à partir de la clé maîtresse.

   -o

   Indique que la commande wanbootutil keygen fournit des options supplémentaires.

   (Facultatif) net=ip_réseau

   Spécifie l'adresse IP du sous-réseau du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.

   (Facultatif) cid=ID_client

   Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Cette clé peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

   type=sha1

   Commande à l'utilitaire wanbootutil keygen de créer une clé de hachage HMAC SHA1 pour le client.

4. Choisissez de créer ou non une clé de chiffrement pour le client.

   La création d'une clé de chiffrement est nécessaire dans le cadre d'une installation et initialisation via connexion WAN sécurisée à travers HTTPS. Avant que le client n'établisse une connexion HTTPS avec le serveur d'initialisation via connexion WAN, ce dernier lui transmet les données et informations chiffrées. La clé de chiffrement permet au client de décrypter ces informations et de les utiliser au cours de l'installation.

   • Si vous effectuez une installation et initialisation via connexion WAN plus sécurisée à travers HTTPS et avec authentification du serveur, continuez.

   • Si vous voulez uniquement vérifier l'intégrité du programme wanboot, il n'est pas nécessaire de créer une clé de chiffrement. Allez directement à l'Étape 6.

5. Créez une clé de chiffrement pour le client.

   # wanbootutil keygen —c -o [net=ip_réseau,{cid=ID_client,}]type=type_clé

   -c

   Crée la clé de chiffrement client.

   -o

   Indique que la commande wanbootutil keygen fournit des options supplémentaires.

   (Facultatif) net=ip_réseau

   Spécifie l'adresse réseau IP du client. Si vous n'utilisez pas l'option net, la clé est stockée dans le fichier /etc/netboot/keystore et peut être utilisée par tous les clients de l'initialisation via connexion WAN.

   (Facultatif) cid=ID_client

   Spécifie l'ID client. Celle-ci peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP. L'option cid doit être précédée d'une valeur net= valide. Si vous ne spécifiez pas l'option cid à l'aide de l'option net, la clé est stockée dans le fichier /etc/netboot/ip_réseau/keystore. Elle peut être utilisée par tous les clients de l'initialisation via connexion WAN du sous-réseau ip_réseau.

   type=type_clé

   Commande à l'utilitaire wanbootutil keygen de créer une clé de chiffrement pour le client. type_clé peut avoir une valeur de 3des ou aes.

6. Installez les clés sur le système client.

   Pour la procédure d'installation des clés sur le client, reportez-vous à la rubrique Installation de clés sur le client.

Exemple 40–3 Création des clés nécessaire à une installation et initialisation via connexion WAN à travers HTTPS

L'exemple suivant crée une clé HMAC SHA1 maîtresse pour le serveur d'initialisation via connexion WAN. Il crée aussi une clé de hachage HMAC SHA1 et une clé de chiffrement 3DES pour le client 01832AA440 sur le sous-réseau 192.168.255.0.

# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des