test

Installationsguide för Solaris 9 12/03

Använda digitala certifikat vid autentisering av klienter och servrar

Vid installationer via globala nätverk går det att använda PKCS#12-filer och utföra en installationen via HTTPS med autentisering av servern eller av både klienten och servern. Krav och riktlinjer i fråga om PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

Skapa ett betrott certifikat och en privat klientnyckel

  1. Anta samma roll som webbserveranvändaren på startservern i det globala nätverket.

  2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.


    # wanbootutil p12split -i p12certifikat \
  -t /etc/netboot/IP-adress/klient-ID/truststore
    p12split

    Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

    -i p12certifikat

    Namnet på PKCS#12-filen som ska delas upp.

    -t /etc/netboot/IP-adress/klient-ID/truststore

    Infogar certifikatet i filen truststore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller DHCP-ID-numret för klienten.

  3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

    1. Infoga klientcertifikatet i filen certstore som hör till klienten.


      # wanbootutil p12split -i p12certifikat -c \
  /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil
      p12split

      Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

      -i p12certifikat

      Namnet på PKCS#12-filen som ska delas upp.

      -c /etc/netboot/IP-adress/klient-ID/certstore

      Infogar klientens certifikat i filen certstore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller DHCP-ID-numret för klienten.

      -k nyckelfil

      Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

    2. Infoga den privata nyckeln i filen keystore som hör till klienten.


      # wanbootutil keymgmt -i -k nyckelfil \
   -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa
      keymgmt -i

      Infogar en privat SSL-nyckel i filen keystore som hör till klienten

      -k nyckelfil

      Namnet på klientens privata nyckelfil som skapades i föregående steg

      -s /etc/netboot/IP-adress/klient-ID/keystore

      Sökvägen till filen keystore som hör till klienten

      -o type=rsa

      Anger att nyckeltypen är RSA

Exempel 40–2 Skapa ett betrott certifikat för autentisering av servern

I exemplet här nedan används en PKCS#12-fil för att genomföra installationen på klienten 010003BA152A42 på delnätet 192.168.255.0. I kommandoexemplet extraheras ett certfikat från en PKCS#12-fil som heter klient.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.


# wanbootutil p12split -i klient.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore