创建散列密钥和加密密钥
如果要使用 HTTPS 传送数据,则必须创建 HMAC SHA1 散列密钥和加密密钥。如果打算通过部分专用网络进行安装,则可能不需要加密安装数据。可以使用 HMAC SHA1 散列密钥检查 wanboot 程序的完整性。有关散列密钥和加密密钥的概述信息,请参见在 WAN Boot 安装期间保护数据。
通过使用 wanbootutil keygen 命令,可以生成这些密钥并将它们存储在相应的 /etc/netboot 目录中。
创建散列密钥和加密密钥
-
假设与 WAN Boot 服务器上 Web 服务器用户相同的用户角色。
-
创建主 HMAC SHA1 密钥。
# wanbootutil keygen -m
- keygen -m
-
为 WAN Boot 服务器创建主 HMAC SHA1 密钥
-
从主密钥中为客户机创建 HMAC SHA1 散列密钥。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1- -c
-
从主密钥中创建客户机的散列密钥。
- -o
-
指示包含 wanbootutil keygen 命令的附加选项。
- (可选)net=net-ip
-
指定客户机子网的 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
- (可选)cid=client-ID
-
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
- type=sha1
-
指示 wanbootutil keygen 公用程序为客户机创建 HMAC SHA1 散列密钥。
-
确定是否需要为客户机创建加密密钥。
您需要创建加密密钥以通过 HTTPS 执行 WAN Boot 安装。在客户机与 WAN Boot 服务器建立 HTTPS 连接之前,WAN Boot 服务器会将加密数据和信息传送至客户机。在安装期间,加密密钥使客户机可以解密此信息并使用此信息。
-
如果要通过 HTTPS 使用服务器验证执行更安全的 WAN 安装,请继续。
-
如果只是要检查 wanboot 程序的完整性,则无需创建加密密钥。请转到步骤 6。
-
-
为客户机创建加密密钥。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type- -c
-
创建客户机的加密密钥。
- -o
-
指示包含 wanbootutil keygen 命令的附加选项。
- (可选)net=net-ip
-
指定客户机的网络 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
- (可选)cid=client-ID
-
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
- type=key-type
-
指示 wanbootutil keygen 公用程序为客户机创建加密密钥。key-type 可以具有 3des 或 aes 的值。
-
在客户机系统中安装这些密钥。
有关如何在客户机上安装密钥的说明,请参见在客户机上安装密钥。
实例 40–3 为使用 HTTPS 的 WAN Boot 安装创建所需的密钥
以下实例可以为 WAN Boot 服务器创建主 HMAC SHA1 密钥。此实例还可以为子网 192.168.255.0 上的客户机 01832AA440 创建 HMAC SHA1 散列密钥和 3DES 加密密钥。
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |
- © 2010, Oracle Corporation and/or its affiliates