Creación de una clave de hashing y una clave de encriptación (Solaris 9 4/04: Guía de instalación)

Solaris 9 4/04: Guía de instalación

Previous: Uso de certificados digitales para la autenticación del servidor y del cliente
Next: Creación de los archivos para la instalación JumpStart personalizada

Creación de una clave de hashing y una clave de encriptación

Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene previsto efectuar la instalación sobre una red semiprivada, no es conveniente encriptar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot. Para obtener información general acerca de las claves de hashing y de encriptación, consulte Protección de datos durante una instalación mediante el arranque WAN.

El comando wanbootutil keygen permite generar dichas claves y almacenarlas en el directorio /etc/netboot apropiado.

Para crear una clave de hashing y una clave de encriptación

Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

Cree la clave HMAC SHA1 maestra.
# wanbootutil keygen -m
keygen -m

Crea la clave HMAC SHA1 maestra para el servidor de arranque WAN

Cree la clave de hashing HMAC SHA1 para el cliente a partir de la clave maestra.
# wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=sha1
-c

Crea la clave de hashing del cliente a partir de la clave maestra.

-o

Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

(Opcional) net=ip_red

Especifica la dirección IP de la subred del clienteSi no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

(Opcional) cid=ID_cliente

Especifica el ID del clienteque puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore y la podrán usar todos los clientes mediante un arranque WAN de la subred ip_red.

type=sha1

Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.

Decida si es necesario crear una clave de encriptación para el cliente.

Deberá crear una clave de encriptación si desea efectuar una instalación mediante un arranque WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de arranque WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.
- Si va a efectuar una instalación mediante un arranque WAN segura sobre HTTPS con autenticación de servidor, prosiga.
- Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Vaya al Paso 6.

Cree una clave de encriptación para el cliente.
# wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=tipo_clave
-c

Crea la clave de encriptación para el cliente.

-o

Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

(Opcional) net=ip_red

Especifica la dirección IP de red del cliente. Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

(Opcional) cid=ID_cliente

Especifica el ID del clienteque puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystorey la podrán todos los clientes mediante un arranque WAN de la subred ip_red.

type=tipo_clave

Indica a la utilidad wanbootutil keygen que cree una clave de encriptación para el cliente. El valor de tipo_clave puede ser 3des o aes.

Instale las claves en el sistema cliente.

Para obtener instrucciones acerca de la instalación de las claves, consulte Instalación de claves en el cliente.

Ejemplo 43–4 Creación de las claves necesarias para una instalación mediante un arranque WAN sobre HTTPS

En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de arranque WAN. En él se crea también una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para el cliente 010003BA152A42 en la subred 192.168.255.0.

Antes de ejecutar estos comandos, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des