如果要使用 HTTPS 传送数据,则必须创建 HMAC SHA1 散列密钥和加密密钥。如果打算通过部分专用网络进行安装,则可能不需要加密安装数据。可以使用 HMAC SHA1 散列密钥检查 wanboot 程序的完整性。有关散列密钥和加密密钥的概述信息,请参见在 WAN Boot 安装期间保护数据。
通过使用 wanbootutil keygen 命令,可以生成这些密钥并将它们存储在相应的 /etc/netboot 目录中。
假设与 WAN Boot 服务器上 Web 服务器用户相同的用户角色。
创建主 HMAC SHA1 密钥。
# wanbootutil keygen -m |
为 WAN Boot 服务器创建主 HMAC SHA1 密钥
从主密钥中为客户机创建 HMAC SHA1 散列密钥。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
从主密钥中创建客户机的散列密钥。
指示包含 wanbootutil keygen 命令的附加选项。
指定客户机子网的 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
指示 wanbootutil keygen 公用程序为客户机创建 HMAC SHA1 散列密钥。
确定是否需要为客户机创建加密密钥。
您需要创建加密密钥以通过 HTTPS 执行 WAN Boot 安装。在客户机与 WAN Boot 服务器建立 HTTPS 连接之前,WAN Boot 服务器会将加密数据和信息传送至客户机。在安装期间,加密密钥使客户机可以解密此信息并使用此信息。
如果要通过 HTTPS 使用服务器验证执行更安全的 WAN 安装,请继续。
如果只是要检查 wanboot 程序的完整性,则无需创建加密密钥。请转到步骤 6。
为客户机创建加密密钥。
# wanbootutil keygen —c -o [net=net-ip,{cid=client-ID,}]type=key-type |
创建客户机的加密密钥。
指示包含 wanbootutil keygen 命令的附加选项。
指定客户机的网络 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可被所有 WAN Boot 客户机使用。
指定客户机 ID。客户机 ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果未指定带有 net 选项的 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。
指示 wanbootutil keygen 公用程序为客户机创建加密密钥。key-type 可以具有 3des 或 aes 的值。
在客户机系统中安装这些密钥。
有关如何在客户机上安装密钥的说明,请参见在客户机上安装密钥。
以下实例可以为 WAN Boot 服务器创建主 HMAC SHA1 密钥。此实例还可以为子网 192.168.255.0 上的客户机 01832AA440 创建 HMAC SHA1 散列密钥和 3DES 加密密钥。
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |