test

Installationsguide för Solaris 9 12/03

Skapa en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats. Översiktlig information om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Så här skapar du en hashningsnyckel och en krypteringsnyckel

  1. Anta samma roll som webbserveranvändaren på startservern i det globala nätverket.

  2. Skapa HMAC SHA1-huvudnyckeln.


    # wanbootutil keygen -m
    keygen -m

    HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

  3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=sha1
    -c

    Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Anger klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=sha1

    Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

  4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

    Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

    • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

    • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå då vidare till Steg 6.

  5. Skapa en krypteringsnyckel åt klienten.


    # wanbootutil keygen —c -o [net=IP-adress,{cid=klient-ID,}]type=nyckeltyp
    -c

    Skapar klientens krypteringsnyckel.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=nyckeltyp

    Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

  6. Installera nycklarna på klientdatorn.

    Anvisningar om hur du installerar nycklar på klientdatorn finns i Installera nycklar på klienten.

Exempel 40–3 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I exemplet skapas dessutom en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel av typen 3DES för klienten 01832AA440 i delnätet 192.168.255.0.


# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des