Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.
Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.
Dela upp PKCS#12-filen i en separat privat SSL-nyckel och filer med betrodda certifikat.
Infoga det betrodda certifikatet i filen truststore som tillhör klienten i katalogträdet /etc/netboot. Det betrodda certifikatet gör att klienten har förtroende för servern.
(Valfritt) Infoga innehållet i den privata SSL-nyckelfilen i filen keystore som tillhör klienten i katalogträdet /etc/netboot.
Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.
Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.
Översiktlig information om katalogträdet /etc/netboot finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.
Anvisningar om hur du skapar katalogträdet /etc/netboot finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.
Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.
Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.
# wanbootutil p12split -i p12certifikat \ -t /etc/netboot/IP-adress/klient-ID/truststore |
Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.
Namnet på PKCS#12-filen som ska delas upp.
Infogar certifikatet i filen truststore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.
(Valfritt) Besluta dig för om du vill att klienter ska autentiseras.
Om du vill göra det fortsätter du med åtgärderna som följer.
Om inte kan du gå vidare till Skapa en hashningsnyckel och en krypteringsnyckel.
Infoga klientcertifikatet i filen certstore som hör till klienten.
# wanbootutil p12split -i p12certifikat -c \ /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil |
Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.
Namnet på PKCS#12-filen som ska delas upp.
Infogar klientens certifikat i filen certstore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.
Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.
Infoga den privata nyckeln i filen keystore som hör till klienten.
# wanbootutil keymgmt -i -k nyckelfil \ -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa |
Infogar en privat SSL-nyckel i filen keystore som hör till klienten
Namnet på klientens privata nyckelfil som skapades i föregående steg
Sökvägen till filen keystore som hör till klienten
Anger att nyckeltypen är RSA
I exemplet här nedan används en PKCS#12-fil för att genomföra installationen på klienten 010003BA152A42 på delnätet 192.168.255.0. I kommandoexemplet extraheras ett certfikat från en PKCS#12-fil som heter klient.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.
Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |