WAN Boot 安裝方法可使用 PKCS#12 檔案,來透過需要伺服器認證或用戶端和伺服器認證的 HTTPS 執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位證書需求。
若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下工作。
將 PKCS#12 檔案分割為單獨的 SSL 私密密鑰和可信賴的證書檔案。
將可信賴的軟體插入 /etc/netboot 階層結構中的用戶端的 truststore 檔案中。可信賴的證書會指示用戶端信賴伺服器。
(可選擇的) 在 /etc/netboot 階層機構中的用戶端的 keystore 檔案裡插入 SSL 私密密鑰檔案之內容。
wanbootutil 指令提供了用以執行上述清單中工作的選項。
在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。
如需介紹 /etc/netboot 階層結構的摘要資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
如需有關如何建立 /etc/netboot 階層結構的說明,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
假定使用者身份與 WAN Boot 伺服器上的 Web 伺服器使用者身份相同。
從 PKCS#12 檔案中擷取可信賴的證書。在 /etc/netboot 階層結構中的用戶端的 truststore 檔案內插入證書。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 truststore 檔案中插入證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。
(選擇性的) 決定是否要求進行用戶端認證。
如果是的話,請繼續執行以下步驟。
如果不要求,請移至建立雜湊密鑰和加密密鑰。
在用戶端的 certstore 中插入用戶端證書。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 certstore 中插入用戶端的證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID 或是 DHCP 用戶端 ID。
指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密密鑰檔案之名稱。
在用戶端的 keystore 中插入私密密鑰。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
在用戶端的 keystore 中插入 SSL 私密密鑰。
指定在上一步驟中建立的用戶端私密密鑰檔案之名稱
指定用戶端的 keystore 的路徑。
指定密鑰的類型為 RSA
在以下範例中,您使用一個 PKCS#12 檔案將用戶端 010003BA152A42 安裝在子網路 192.168.255.0 上。該指令範例從一個名為 client.p12 的 PKCS#12 檔案中擷取了證書。然後該指令會將可信賴的證書的內容置於用戶端的 truststore 檔案中。
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |