(Opcional) Protección de los datos mediante el uso de HTTPS

Si desea proteger los datos durante la transferencia del servidor de arranque WAN al cliente, puede utilizar HTTP en la Capa de zócalo protegido (HTTPS). Si desea usar la configuración de instalación más segura que se describe en Configuración de una instalación segura mediante arranque WAN, debe habilitar el servidor web para usar HTTPS.

Para habilitar el software del servidor web en el servidor de arranque WAN para utilizar HTTPS deberá efectuar las tareas siguientes.

• Activar la admisión de la Capa de zócalos seguros (SSL) en el software del servidor web.

  Los procesos para habilitar la admisión de SSL y la autenticación de cliente varían en cada servidor web. En este documento no se describe la forma de habilitar las características de seguridad en su servidor web. Para obtener información sobre éstas consulte la documentación siguiente.

  • Para obtener información sobre cómo activar SSL en los servidores web Sun ONE e iPlanet, consulte la documentación de Sun ONE e iPlanet en http://docs.sun.com.

  • Para obtener información sobre cómo activar SSL en el servidor web Apache consulte Apache Documentation Project en http://httpd.apache.org/docs-project/.

  • Si utiliza un servidor web que no aparece en la lista anterior, consulte la documentación de éste.

• Instalar certificados digitales en el servidor de arranque WAN.

  Para obtener información acerca del uso de certificados digitales mediante un arranque WAN, consulte Uso de certificados digitales para la autenticación del servidor y del cliente.

• Proporcionar al cliente un certificado acreditado.

  Para obtener instrucciones sobre cómo crear un certificado acreditado, consulte Uso de certificados digitales para la autenticación del servidor y del cliente.

• Crear una clave de hashing y una clave de encriptación.

  Para obtener instrucciones sobre la creación de claves, consulte Creación de una clave de hashing y una clave de encriptación.

• (Opcional) Configurar el software del servidor web para que admita la autenticación del cliente.

  Para obtener información acerca de cómo configurar el servidor web para admitir la autenticación del cliente, consulte la documentación del servidor web.

Uso de certificados digitales para la autenticación del servidor y del cliente

El método de instalación de arranque WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Si desea conocer los requisitos y las directrices sobre el uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.

Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.

• Dividir el archivo PKCS#12 en dos archivos independientes, el de clave privada SSL y el certificado acreditado.

• Insertar el certificado acreditado en el archivo truststore del cliente, en la jerarquía /etc/netboot. El certificado acreditado indica al cliente que confíe en el servidor.

• (Opcional) Insertar el contenido de la clave privada SSL en el archivo keystore del cliente, en la jerarquía /etc/netboot.

El comando wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.

Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.

• Para obtener información general acerca de la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.

• Para obtener instrucciones sobre como crear la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

Creación de un certificado acreditado y de una clave privada de cliente

1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

2. Extraiga el certificado acreditado del archivo PKCS#12 e insértelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_red/ID_cliente/truststore

   p12split

   Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

   -i p12cert

   Indica el nombre del archivo PKCS#12 que se debe dividir.

   -t /etc/netboot/ip_red/ID_cliente/truststore

   Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

3. (Opcional) Decida si desea requerir autenticación de cliente.

   • En caso afirmativo, prosiga con los pasos indicados.

   • En caso negativo, vaya a Creación de una clave de hashing y una clave de encriptación.

   1. Inserte el certificado de cliente en el archivo certstore del cliente.

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves

      p12split

      Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

      -i p12cert

      Indica el nombre del archivo PKCS#12 que se debe dividir.

      -c /etc/netboot/ip_red/ID_cliente/certstore

      Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

      -k archivo_claves

      Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.

   2. Inserte la clave privada en el archivo keystore del cliente.

      # wanbootutil keymgmt -i -k archivo_claves \ -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa

      keymgmt -i

      Inserta una clave privada SSL en el archivo keystore del cliente

      -k archivo_claves

      Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior

      -s /etc/netboot/ip_red/ID_cliente/keystore

      Indica la ruta al archivo keystore del cliente

      -o type=rsa

      Indica que el tipo de clave es RSA

Ejemplo 43–3 Creación de un certificado acreditado para la autenticación del servidor

En el ejemplo siguiente se utiliza un archivo PKCS#12 para instalar el cliente 010003BA152A42 en la subred 192.168.255.0. Este comando de ejemplo extrae un certificado de un archivo PKCS#12 denominado client. p12 y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.

Antes de ejecutar estos comandos, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client. p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Creación de una clave de hashing y una clave de encriptación

Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene previsto efectuar la instalación sobre una red semiprivada, no es conveniente encriptar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot. Para obtener información general acerca de las claves de hashing y de encriptación, consulte Protección de datos durante una instalación mediante el arranque WAN.

El comando wanbootutil keygen permite generar dichas claves y almacenarlas en el directorio /etc/netboot apropiado.

Para crear una clave de hashing y una clave de encriptación

1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

2. Cree la clave HMAC SHA1 maestra.

   # wanbootutil keygen -m

   keygen -m

   Crea la clave HMAC SHA1 maestra para el servidor de arranque WAN

3. Cree la clave de hashing HMAC SHA1 para el cliente a partir de la clave maestra.

   # wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=sha1

   -c

   Crea la clave de hashing del cliente a partir de la clave maestra.

   -o

   Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

   (Opcional) net=ip_red

   Especifica la dirección IP de la subred del clienteSi no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

   (Opcional) cid=ID_cliente

   Especifica el ID del clienteque puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore y la podrán usar todos los clientes mediante un arranque WAN de la subred ip_red.

   type=sha1

   Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.

4. Decida si es necesario crear una clave de encriptación para el cliente.

   Deberá crear una clave de encriptación si desea efectuar una instalación mediante un arranque WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de arranque WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.

   • Si va a efectuar una instalación mediante un arranque WAN segura sobre HTTPS con autenticación de servidor, prosiga.

   • Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Vaya al Paso 6.

5. Cree una clave de encriptación para el cliente.

   # wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=tipo_clave

   -c

   Crea la clave de encriptación para el cliente.

   -o

   Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

   (Opcional) net=ip_red

   Especifica la dirección IP de red del cliente. Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

   (Opcional) cid=ID_cliente

   Especifica el ID del clienteque puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystorey la podrán todos los clientes mediante un arranque WAN de la subred ip_red.

   type=tipo_clave

   Indica a la utilidad wanbootutil keygen que cree una clave de encriptación para el cliente. El valor de tipo_clave puede ser 3des o aes.

6. Instale las claves en el sistema cliente.

   Para obtener instrucciones acerca de la instalación de las claves, consulte Instalación de claves en el cliente.

Ejemplo 43–4 Creación de las claves necesarias para una instalación mediante un arranque WAN sobre HTTPS

En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de arranque WAN. En él se crea también una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para el cliente 010003BA152A42 en la subred 192.168.255.0.

Antes de ejecutar estos comandos, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des