WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、デジタル証明書の要件を参照してください。
WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。
PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。
/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。
(省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。
wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。
PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。
/etc/netboot ディレクトリの概要については、/etc/netboot ディレクトリへの構成情報とセキュリティ情報の保存を参照してください。
/etc/netboot ディレクトリの作成方法については、WAN ブートサーバーに /etc/netboot ディレクトリを作成するを参照してください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
wanbootutil コマンドのオプション。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
(省略可能) クライアント認証を要求するかどうかを決定します。
要求する場合は、引き続き次の手順を実行します。
要求しない場合は、ハッシュキーと暗号化鍵の作成へ進みます。
クライアントの certstore にクライアントの証明書を挿入します。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
クライアントの keystore に非公開鍵を挿入します。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
クライアントの keystore に SSL 非公開鍵を挿入します。
前の手順で作成したクライアントの非公開鍵ファイルの名前を指定します。
クライアントの keystore へのパスを指定します。
キータイプとして RSA を指定します。
次の例では、サブネット 192.168.255.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |