test

Solaris 9 12/03 安裝指南

在伺服器和用戶端認證時使用數位證書

WAN Boot 安裝方法可使用 PKCS#12 檔案,來透過需要伺服器認證或用戶端和伺服器認證的 HTTPS 執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位證書需求

若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下工作。

wanbootutil 指令提供了用以執行上述清單中工作的選項。

在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

建立可信賴的證書和用戶端私密密鑰

  1. 假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。

  2. 從 PKCS#12 檔案中擷取可信賴的證書。在 /etc/netboot 階層結構中的用戶端的 truststore 檔案內插入證書。


    # wanbootutil p12split -i p12cert \
  -t /etc/netboot/net-ip/client-ID/truststore
    p12split

    可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。

    -i p12cert

    指定要分割的 PKCS#12 檔案之名稱。

    -t /etc/netboot/net-ip/client-ID/truststore

    在用戶端的 truststore 檔案中插入證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。

  3. (選擇性的) 決定是否要求進行用戶端認證。

    1. 在用戶端的 certstore 中插入用戶端證書。


      # wanbootutil p12split -i p12cert -c \
  /etc/netboot/net-ip/client-ID/certstore -k keyfile
      p12split

      可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。

      -i p12cert

      指定要分割的 PKCS#12 檔案之名稱。

      -c /etc/netboot/net-ip/client-ID/certstore

      在用戶端的 certstore 中插入用戶端的證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。

      -k keyfile

      指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密密鑰檔案之名稱。

    2. 在用戶端的 keystore 中插入私密密鑰。


      # wanbootutil keymgmt -i -k keyfile \
   -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
      keymgmt -i

      在用戶端的 keystore 中插入 SSL 私密密鑰。

      -k keyfile

      指定在上一步驟中建立的用戶端私密密鑰檔案之名稱

      -s /etc/netboot/net-ip/client-ID/keystore

      指定用戶端的 keystore 的路徑。

      -o type=rsa

      指定密鑰的類型為 RSA

範例 40–2 為伺服器認證建立可信賴的證書

在以下範例中,您使用一個 PKCS#12 檔案將用戶端 010003BA152A42 安裝在子網路 192.168.255.0 上。該指令範例從一個名為 client.p12 的 PKCS#12 檔案中擷取了證書。然後該指令會將可信賴的證書的內容置於用戶端的 truststore 檔案中。


# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore