在客户机上安装密钥 (Solaris 9 12/03 安装指南)

Solaris 9 12/03 安装指南

在客户机上安装密钥

对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装，您必须在客户机上安装密钥。通过使用散列密钥和加密密钥，您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。

设置 OBP 变量 – 您可以在引导客户机之前，为 OBP 网络引导变量指定密钥值。然后，客户机可在将来安装 WAN Boot 时使用这些密钥。
在引导进程期间输入密钥值 – 您可以在 wanboot program boot> 提示符下输入设置密钥值。如果使用此方法来安装密钥，则密钥只能用于当前的 WAN Boot 安装。

您也可以在运行中的客户机的 OBP 中安装密钥。如果要在运行中的客户机上安装密钥，系统必须运行 Solaris 9 12/03 操作环境或兼容版本。

在客户机上安装密钥时，请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。

有关如何为 OBP 网络引导变量指定密钥值的说明，请参见在客户机 OBP 中安装密钥。
有关如何在引导进程期间安装密钥的说明，请参见执行交互安装。
有关如何在运行中的客户机的 OBP 中安装密钥的说明，请参见在运行中的客户机上安装散列密钥和加密密钥。

在客户机 OBP 中安装密钥

如果要为 OBP 网络引导变量指定密钥值，请按照以下步骤进行操作。

将同一用户角色假设为 WAN Boot 服务器上的 Web 服务器用户。

显示所有客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
net-ip

客户机子网的 IP 地址。

client-ID

要安装的客户机的 ID。客户机 ID 可以是用户定义的 ID 也可以是 DHCP 客户机 ID。

key-type

要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。

将显示密钥的十六进制值。

针对要安装的每个客户机密钥类型，重复上述步骤。

使客户机系统运行 0 级。
# init 0
将显示 ok 提示符。

在客户机 ok 提示符下，设置散列密钥的值。
ok set-security-key wanboot-hmac-sha1 key-value
set-security-key

在客户机上安装密钥

wanboot-hmac-sha1

指示 OBP 安装 HMAC SHA1 散列密钥

key-value

指定在步骤 2中显示的十六进制字符串。

HMAC SHA1 散列密钥安装在客户机 OBP 中。

在客户机 ok 提示符下，安装加密密钥。
ok set-security-key wanboot-3des key-value
set-security-key

在客户机上安装密钥

wanboot-3des

指示 OBP 安装 3DES 加密密钥。如果要使用 AES 加密密钥，请将此值设置为 wanboot-aes。

key-value

指定代表该加密密钥的十六进制字符串。

3DES 加密密钥安装在客户机 OBP 中。

安装密钥后，就可以安装客户机了。有关如何安装客户机系统的说明，请参见安装客户机。

(可选的) 检验是否已在客户机 OBP 中设置密钥。

ok list-security-keys
Security Keys:
         wanboot-hmac-sha1
         wanboot-3des

(可选的) 如果需要删除密钥，请键入以下命令。
ok set-security-key key-type
key-type

指定需要删除的密钥的类型。使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。

实例 41–3 在客户机 OBP 中安装密钥

以下实例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。

在 WAN Boot 服务器中显示密钥值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上实例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机 HMAC SHA1 散列密钥的值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机 3DES 加密密钥的值

如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。

在客户机系统上安装密钥。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上命令执行以下任务。

将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上

如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes。

在运行中的客户机上安装散列密钥和加密密钥

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥，请按照以下步骤进行操作。

注意：

此过程进行了以下假设。

客户机系统已经打开。
可以通过安全连接访问客户机，例如安全 shell (ssh)。

将同一用户角色假设为 WAN Boot 服务器上的 Web 服务器用户。

显示客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
net-ip

客户机子网的 IP 地址。

client-ID

要安装的客户机的 ID。客户机 ID 可以是用户定义的 ID 也可以是 DHCP 客户机 ID。

key-type

要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。

将显示密钥的十六进制值。

针对要安装的每个客户机密钥类型，重复上述步骤。

成为客户机的超级用户。

在运行中的客户机上安装必要的密钥。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value
key-type

指定要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。

key-value

指定在步骤 2中显示的十六进制字符串。

针对要安装的每个客户机密钥类型，重复上述步骤。

安装密钥后，就可以安装客户机了。有关如何安装客户机系统的说明，请参见安装客户机。

实例 41–4 在运行中的客户机系统的 OBP 中安装密钥

以下实例显示了如何在运行中的客户机的 OBP 中安装密钥。