test

Guide d'installation Solaris 9 12/03

Utilisation de certificats numériques pour l'authentification serveur et client

La méthode d'installation et initialisation via connexion WAN peut utiliser les fichiers PKCS#12 pour effectuer une installation à travers HTTPS avec authentification serveur ou authentification client et serveur. Pour les conditions et directives sur l'utilisation des fichiers PKCS#12, reportez-vous à la rubrique Exigences des certificats numériques.

Si vous utilisez un fichier PKCS#12 sur une installation et initialisation via connexion WAN, exécutez les tâches suivantes :

La commande wanbootutil fournit des options pour exécuter ces tâches.

Avant de diviser un fichier PKCS#12, créez les sous-répertoires appropriés dans la hiérarchie /etc/netboot sur le serveur d'initialisation via connexion WAN.

Création d'un certificat de confiance et d'une clé privée client

  1. Endossez le même rôle que l'utilisateur du serveur Web sur le serveur d'initialisation via connexion WAN.

  2. Extrayez le certificat de confiance à partir du fichier PKCS#12. Insérez le certificat dans le fichier truststore du client de la hiérarchie /etc/netboot.


    # wanbootutil p12split -i p12cert \
  -t /etc/netboot/ip_réseau/ID_client/truststore
    p12split

    Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

    -i p12cert

    Spécifie le nom du fichier PKCS#12 à diviser.

    -t /etc/netboot/ip_réseau/ID_client/truststore

    Insère le certificat dans le fichier truststore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.

  3. (Facultatif) Voulez-vous utiliser l'authentification client ?

    1. Insérez le certificat client dans le fichier certstore du client.


      # wanbootutil p12split -i p12cert -c \
  /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé
      p12split

      Option de la commande wanbootutil divisant un fichier PKCS#12 en deux fichiers séparés, clé privée et certificat.

      -i p12cert

      Spécifie le nom du fichier PKCS#12 à diviser.

      -c /etc/netboot/ip_réseau/ID_client/certstore

      Insère le certificat client dans le fichier certstore du client. ip_réseau est l'adresse IP du sous-réseau du client. ID_client peut être une ID définie par l'utilisateur ou l'ID client du serveur DHCP.

      -k fichier_clé

      Spécifie le nom du fichier de clé privée SSL client à créer à partir du fichier PKCS#12 divisé.

    2. Insérez la clé privée dans le fichier keystore du client.


      # wanbootutil keymgmt -i -k fichier_clé \
   -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa
      keymgmt -i

      Insère une clé privée SSL dans le fichier keystore du client.

      -k fichier_clé

      Spécifie le nom du fichier de clé privée client créé à l'étape précédente.

      -s /etc/netboot/ip_réseau/ID_client/keystore

      Spécifie le chemin d'accès au fichier keystore du client.

      -o type=rsa

      Spécifie le type de clé comme RSA.

Exemple 40–2 Création d'un certificat de confiance pour l'authentification serveur

Dans l'exemple suivant, vous utilisez un fichier PKCS#12 pour installer le client 010003BA152A42 sur le sous-réseau 192.168.255.0. Cette commande extrait du fichier PKCS#12 un certificat nommé client.p12. Elle place ensuite le contenu du certificat de confiance dans le fichier truststore du client.


# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore