서버 및 클라이언트 인증에 디지털 인증서 사용 (Solaris 9 4/04 설치 설명서)

Solaris 9 4/04 설치 설명서

서버 및 클라이언트 인증에 디지털 인증서 사용

WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항 및 지침은 디지털 인증서 요구 사항를 참조하십시오.

WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.

PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.
/etc/netboot 계층의 클라이언트 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.
(옵션) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.

wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.

PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.

/etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장를 참조하십시오.
/etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

신뢰할 수 있는 인증서 및 클라이언트 개인 키 만들기

WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
p12split

PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

-i p12cert

분할할 PKCS#12 파일의 이름을 지정합니다.

-t /etc/netboot/net-ip/client-ID/truststore

클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

(옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.
- 필요하면 다음 단계를 계속합니다.
- 필요하지 않으면 해싱 키 및 암호 키 만들기로 이동하십시오.
1. 클라이언트 certstore에 클라이언트 인증서를 삽입합니다.
  # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
  p12split
  
  PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.
  
  -i p12cert
  
  분할할 PKCS#12 파일의 이름을 지정합니다.
  
  -c /etc/netboot/net-ip/client-ID/certstore
  
  클라이언트 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.
  
  -k keyfile
  
  분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.
2. 클라이언트 keystore에 개인 키를 삽입합니다.
  # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
  keymgmt -i
  
  클라이언트 keystore에 SSL 개인 키를 삽입합니다.
  
  -k keyfile
  
  이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.
  
  -s /etc/netboot/net-ip/client-ID/keystore
  
  클라이언트 keystore에 대한 경로를 지정합니다.
  
  -o type=rsa
  
  키 유형을 RSA로 지정합니다.

예 43–3 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기

다음 예에서는 PKCS#12 파일을 사용하여 서브넷 192.168.255.0에 클라이언트 010003BA152A42를 설치합니다 . 이 명령 샘플은 client.p12라는 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore