test

Guida all'installazione di Solaris 9 12/03

Creazione di una chiave di hashing e di una chiave di cifratura

Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si pianifica l'installazione su una rete parzialmente privata, non crittografare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot. Per informazioni generali sulle chiavi di hashing e le chiavi di cifratura, vedere la sezione Protezione dei dati durante un'installazione boot WAN.

Con il comando wanbootutil keygen è possibile generare chiavi e memorizzarle nella directory /etc/netboot appropriata.

Creare una chiave di hashing e una chiave di cifratura

  1. Assumere lo stesso ruolo dell'utente server web sul server di boot WAN.

  2. Creare la chiave HMAC SHA1 master.


    # wanbootutil keygen -m
    keygen -m

    Crea la chiave HMAC SHA1 master per il server di boot WAN

  3. Creare la chiave di hashing HMAC SHA1 per il client dalla chiave master.


    # wanbootutil keygen -c -o [net=ip-sottorete,{cid=ID-client,}]type=sha1
    -c

    Crea la chiave di hashing del client dalla rispettiva chiave master.

    -o

    Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

    (Opzionale) net=ip-sottorete

    Specifica l'indirizzo IP per la sottorete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e possono usarla tutti i i client di boot WAN.

    (Opzionale) cid=ID-client

    Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

    type=sha1

    Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.

  4. Decidere se è necessario creare una chiave di cifratura per il client.

    La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decrittografare queste informazioni e di utilizzarle durante l'installazione.

    • Se si esegue un'installazione WAN più sicura con collegamento HTTPS e autenticazione del server, proseguire.

    • Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Passare al Punto 6.

  5. Creare una chiave di cifratura per il client.


    # wanbootutil keygen —c -o [net=IP-sottorete,{cid=IDclient,}]type=tipochiave
    -c

    Crea la chiave di cifratura per il client.

    -o

    Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

    (Opzionale) net=ip-sottorete

    Specifica l'indirizzo IP di rete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e possono usarla tutti i i client di boot WAN.

    (Opzionale) cid=IDclient

    Specifica l'ID del client Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

    type=tipochiave

    Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipochiave può assumere il valore 3des o aes.

  6. Installare le chiavi sul sistema client.

    Per istruzioni sull'installazione delle chiavi sul client, vedere il Installazione delle chiavi sul client.

Esempio 40–3 Creazione delle chiavi richieste per l'installazione boot WAN con collegamento HTTPS

L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 01832AA440 della sottorete 192.168.255.0.


# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des