test

Installationsguide för Solaris 9 4/04

Skapa en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats. Översiktlig information om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Så här skapar du en hashningsnyckel och en krypteringsnyckel

  1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

  2. Skapa HMAC SHA1-huvudnyckeln.


    # wanbootutil keygen -m
    keygen -m

    HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

  3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=sha1
    -c

    Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=sha1

    Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

  4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

    Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

    • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

    • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå då vidare till Steg 6.

  5. Skapa en krypteringsnyckel för klienten.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=client-ID,}]type=key-type
    -c

    Skapar klientens krypteringsnyckel.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=nyckeltyp

    Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

  6. Installera nycklarna på datorn.

    Anvisningar om hur du installerar nycklar på klientdatorn finns i Installera nycklar på klienten.

Exempel 43–4 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I exemplet skapas dessutom en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel av typen 3DES för klienten 010003BA152A42 i delnätet 192.168.255.0.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des