test

Solaris 9 4/04 安裝指南

建立雜湊密鑰和加密密鑰

如果要使用 HTTPS 來傳送資料,則必須建立一個 HMAC SHA1 雜湊密鑰和一個加密密鑰。如果您計劃透過一個半私有網路進行安裝,您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊密鑰來檢查 wanboot 程式的完整性。如需有關雜湊密鑰和加密密鑰的摘要資訊,請參閱在 WAN Boot 安裝期間保護資料

透過使用 wanbootutil keygen 指令,可以產生這些密鑰並將其儲存在相應的 /etc/netboot 目錄中。

建立雜湊密鑰和加密密鑰

  1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

  2. 建立主 HMAC SHA1 密鑰。


    # wanbootutil keygen -m
    keygen -m

    為 WAN Boot 伺服器建立主 HMAC SHA1 密鑰

  3. 由主密鑰建立用戶端的 HMAC SHA1 雜湊密鑰。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    -c

    由主密鑰建立用戶端的雜湊密鑰。

    -o

    指出 wanbootutil keygen 指令中包含了其他的選項。

    (可選擇的) net=net-ip

    指定用戶端的子網路的 IP 位址。如果您不使用 net 選項,則密鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。

    (可選擇的) cid=client-ID

    指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。

    type=sha1

    指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊密鑰。

  4. 決定是否需要為用戶端建立加密密鑰。

    您需要建立加密密鑰,以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前,WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密密鑰可使用戶端解密此資訊,並在安裝中使用此資訊。

    • 如果您正在執行的是一個透過 HTTPS、且進行伺服器認證的更加安全的 WAN 安裝,請繼續。

    • 如果您只想檢查 wanboot 程式的完整性,則無需建立加密密鑰。移至步驟 6

  5. 建立用戶端的加密密鑰。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    -c

    建立用戶端的加密密鑰。

    -o

    指出 wanbootutil keygen 指令中包含了其他的選項。

    (可選擇的) net=net-ip

    指定用戶端的網路 IP 位址。如果您不使用 net 選項,則密鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。

    (可選擇的) cid=client-ID

    指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。

    type=key-type

    指示 wanbootutil keygen 公用程式為用戶端建立一個加密密鑰。可賦予 key-type 一個 3des 值或 aes 值。

  6. 在用戶端系統上安裝密鑰。

    如需有關如何在用戶端上安裝密鑰的說明,請參閱在用戶端上安裝密鑰

範例 43–4 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的密鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 密鑰。此範例還為子網路 192.168.255.0 上的用戶端 010003BA152A42 建立 HMAC SHA1 雜湊密鑰和 3DES 加密密鑰。

在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者身份為 nobody


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des