WAN 부트 서버에서 클라이언트로 전송하는 동안 데이터를 보호하기 위해 Secure Sockets Layer (HTTPS)를 통한 HTTP를 사용할 수 있습니다. 보안 WAN 부트 설치 구성에 설명되어 있는 보다 안전한 설치 구성을 사용하려면 웹 서버에서 HTTPS를 활성화해야 합니다.
WAN 부트 서버의 웹 서버 소프트웨어에서 HTTPS를 사용하게 하려면 다음 작업을 수행해야 합니다.
웹 서버 소프트웨어에서 SSL (Secure Sockets Layer) 지원을 활성화합니다.
SSL 지원 및 클라이언트 인증 활성화 프로세스는 웹 서버에 따라 달라집니다. 이 문서에서는 사용자 웹 서버에서 이러한 보안 기능을 활성화하는 방법에 대해 설명하지 않습니다. 이러한 기능에 대한 자세한 내용은 다음 설명서를 참조하십시오.
SunONE과 iPlanet 웹 서버에서 SSL 활성화 방법에 대한 자세한 내용은 http://docs.sun.com의 Sun ONE 및 iPlanet 설명서 모음을 참조하십시오.
Apache 웹 서버에서 SSL 활성화 방법에 대한 자세한 내용은 http://httpd.apache.org/docs-project/의 Apache Documentation Project를 참조하십시오.
위의 목록에 나열되어 있지 않은 웹 서버 소프트웨어를 사용하고 있는 경우 해당 웹 서버 소프트웨어 설명서를 참조하십시오.
WAN 부트 서버에 디지털 인증서를 설치합니다.
WAN 부트에 디지털 인증서를 사용하는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증에 디지털 인증서 사용를 참조하십시오.
신뢰할 수 있는 인증서를 클라이언트에게 제공합니다.
신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증에 디지털 인증서 사용를 참조하십시오.
해싱 키와 암호 키를 만듭니다.
키를 만드는 방법에 대한 자세한 내용은 해싱 키 및 암호 키 만들기를 참조하십시오.
(옵션) 웹 서버 소프트웨어를 구성하여 클라이언트 인증을 지원합니다.
클라이언트 인증을 지원하도록 웹 서버를 구성하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.
WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항 및 지침은 디지털 인증서 요구 사항를 참조하십시오.
WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.
PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.
/etc/netboot 계층의 클라이언트 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.
(옵션) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.
wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.
PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.
/etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장를 참조하십시오.
/etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.
WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.
PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.
분할할 PKCS#12 파일의 이름을 지정합니다.
클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.
(옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.
필요하면 다음 단계를 계속합니다.
필요하지 않으면 해싱 키 및 암호 키 만들기로 이동하십시오.
클라이언트 certstore에 클라이언트 인증서를 삽입합니다.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.
분할할 PKCS#12 파일의 이름을 지정합니다.
클라이언트 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.
분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.
클라이언트 keystore에 개인 키를 삽입합니다.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
클라이언트 keystore에 SSL 개인 키를 삽입합니다.
이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.
클라이언트 keystore에 대한 경로를 지정합니다.
키 유형을 RSA로 지정합니다.
다음 예에서는 PKCS#12 파일을 사용하여 서브넷 192.168.255.0에 클라이언트 010003BA152A42를 설치합니다 . 이 명령 샘플은 client.p12라는 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.
이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다. 해싱 키 및 암호 키에 대한 개요는 WAN 부트 설치 시 데이터 보호를 참조하십시오.
wanbootutil keygen 명령을 사용하여 키를 생성하고 이러한 키를 해당 /etc/netboot 디렉토리에 저장할 수 있습니다.
WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.
마스터 HMAC SHA1 키를 만듭니다.
# wanbootutil keygen -m |
WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다.
해당 마스터 키에서 클라이언트의 HMAC SHA1 해싱 키를 만듭니다.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.
wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.
클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되므로 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.
클라이언트에 대해 암호 키를 만들어야 할지 여부를 결정합니다.
HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.
서버 인증을 사용하여 HTTPS를 통한 보다 안전한 WAN 설치를 수행하고 있다면 계속하십시오.
wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 단계 6으로 이동하십시오.
클라이언트에 대한 암호 키를 만듭니다.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type |
클라이언트의 암호 키를 만듭니다.
wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.
클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되므로 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type은 3des 또는 aes 값일 수 있습니다.
클라이언트 시스템에 키를 설치합니다.
클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.
다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 또한 이 예는 서브넷 192.168.255.0의 클라이언트 010003BA152A42에 대해 HMAC SHA1 해싱 키와 3DES 암호 키를 만듭니다.
이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |