test

Installationsguide för Solaris 9 4/04

Använda digitala certifikat vid autentisering av klienter och servrar

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

Skapa ett betrott certifikat och en privat klientnyckel

  1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

  2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.


    # wanbootutil p12split -i p12certifikat \
  -t /etc/netboot/IP-adress/klient-ID/truststore
    p12split

    Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

    -i p12certifikat

    Namnet på PKCS#12-filen som ska delas upp.

    -t /etc/netboot/IP-adress/klient-ID/truststore

    Infogar certifikatet i filen truststore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

  3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

    1. Infoga klientcertifikatet i filen certstore som hör till klienten.


      # wanbootutil p12split -i p12certifikat -c \
  /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil
      p12split

      Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

      -i p12certifikat

      Namnet på PKCS#12-filen som ska delas upp.

      -c /etc/netboot/IP-adress/klient-ID/certstore

      Infogar klientens certifikat i filen certstore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

      -k nyckelfil

      Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

    2. Infoga den privata nyckeln i filen keystore som hör till klienten.


      # wanbootutil keymgmt -i -k nyckelfil \
   -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa
      keymgmt -i

      Infogar en privat SSL-nyckel i filen keystore som hör till klienten

      -k nyckelfil

      Namnet på klientens privata nyckelfil som skapades i föregående steg

      -s /etc/netboot/IP-adress/klient-ID/keystore

      Sökvägen till filen keystore som hör till klienten

      -o type=rsa

      Anger att nyckeltypen är RSA

Exempel 43–3 Skapa ett betrott certifikat för autentisering av servern

I exemplet här nedan används en PKCS#12-fil för att genomföra installationen på klienten 010003BA152A42 på delnätet 192.168.255.0. I kommandoexemplet extraheras ett certfikat från en PKCS#12-fil som heter klient.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore