(可選擇的) 使用 HTTPS 保護資料

若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料，可以透過安全套接層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所描述的更安全的安裝配置，您必須啟用 Web 伺服器，才能使用 HTTPS。

若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS，您必須執行以下工作。

• 在 Web 伺服器軟體中啟動安全套接層 (SSL) 支援。

  啟動 SSL 支援和用戶端認證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需有關這些功能的資訊，請參閱以下說明文件。

  • 如需有關在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊，請參閱 http://docs.sun.com 上的 Sun ONE 和 iPlanet 說明文件集合。

  • 如需有關在 Apache Web 伺服器上啟動 SSL 的資訊，請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。

  • 如果您正在使用的 Web 伺服器軟體未在上述清單中列出，請參閱您的 Web 伺服器軟體說明文件。

• 在 WAN Boot 伺服器上安裝數位證書。

  如需有關在 WAN Boot 中使用數位證書的資訊，請參閱在伺服器和用戶端認證時使用數位證書。

• 向用戶端提供可信賴的證書。

  如需有關如何建立可信賴證書的說明，請參閱在伺服器和用戶端認證時使用數位證書。

• 建立雜湊密鑰和加密密鑰。

  如需有關如何建立密鑰的說明，請參閱建立雜湊密鑰和加密密鑰。

• (可選擇的) 將 Web 伺服器軟體配置為支援用戶端認證。

  如需有關如何將 Web 伺服器配置為支援用戶端認證的資訊，請參閱 Web 伺服器說明文件。

在伺服器和用戶端認證時使用數位證書

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器認證或者同時具有伺服器認證與用戶端認證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求與準則，請參閱數位證書需求。

若要在 WAN Boot 安裝中使用 PKCS#12 檔案，請執行以下工作。

• 將 PKCS#12 檔案分割為單獨的 SSL 私密密鑰和可信賴的證書檔案。

• 將可信賴的軟體插入 /etc/netboot 階層結構中的用戶端的 truststore 檔案中。可信賴的證書會指示用戶端信賴伺服器。

• (可選擇的) 在 /etc/netboot 階層機構中的用戶端的 keystore 檔案裡插入 SSL 私密密鑰檔案之內容。

wanbootutil 指令提供了用以執行上述清單中工作的選項。

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

• 如需介紹 /etc/netboot 階層結構的摘要資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。

• 如需有關如何建立 /etc/netboot 階層結構的說明，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

建立可信賴的證書和用戶端私密密鑰

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

2. 從 PKCS#12 檔案中擷取可信賴的證書。在 /etc/netboot 階層結構中的用戶端的 truststore 檔案內插入證書。

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。

   -i p12cert

   指定要分割的 PKCS#12 檔案之名稱。

   -t /etc/netboot/net-ip/client-ID/truststore

   在用戶端的 truststore 檔案中插入證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

3. (選擇性的) 決定是否要求進行用戶端認證。

   • 如果是的話，請繼續執行以下步驟。

   • 如果不要求，請移至建立雜湊密鑰和加密密鑰。

   1. 在用戶端的 certstore 中插入用戶端證書。

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

      p12split

      可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。

      -i p12cert

      指定要分割的 PKCS#12 檔案之名稱。

      -c /etc/netboot/net-ip/client-ID/certstore

      在用戶端的 certstore 中插入用戶端的證書。net-ip 是用戶端所在子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

      -k keyfile

      指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密密鑰檔案之名稱。

   2. 在用戶端的 keystore 中插入私密密鑰。

      # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

      keymgmt -i

      在用戶端的 keystore 中插入 SSL 私密密鑰。

      -k keyfile

      指定在上一步驟中建立的用戶端私密密鑰檔案之名稱

      -s /etc/netboot/net-ip/client-ID/keystore

      指定用戶端的 keystore 的路徑。

      -o type=rsa

      指定密鑰的類型為 RSA

範例 43–3 為伺服器認證建立可信賴的證書

在以下範例中，您使用一個 PKCS#12 檔案將用戶端 010003BA152A42 安裝在子網路 192.168.255.0 上。該指令範例從一個名為 client.p12 的 PKCS#12 檔案中擷取了證書。然後該指令會將可信賴的證書的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者身份為 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

建立雜湊密鑰和加密密鑰

如果要使用 HTTPS 來傳送資料，則必須建立一個 HMAC SHA1 雜湊密鑰和一個加密密鑰。如果您計劃透過一個半私有網路進行安裝，您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊密鑰來檢查 wanboot 程式的完整性。如需有關雜湊密鑰和加密密鑰的摘要資訊，請參閱在 WAN Boot 安裝期間保護資料。

透過使用 wanbootutil keygen 指令，可以產生這些密鑰並將其儲存在相應的 /etc/netboot 目錄中。

建立雜湊密鑰和加密密鑰

1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

2. 建立主 HMAC SHA1 密鑰。

   # wanbootutil keygen -m

   keygen -m

   為 WAN Boot 伺服器建立主 HMAC SHA1 密鑰

3. 由主密鑰建立用戶端的 HMAC SHA1 雜湊密鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   由主密鑰建立用戶端的雜湊密鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇的) net=net-ip

   指定用戶端的子網路的 IP 位址。如果您不使用 net 選項，則密鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇的) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。

   type=sha1

   指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊密鑰。

4. 決定是否需要為用戶端建立加密密鑰。

   您需要建立加密密鑰，以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前，WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密密鑰可使用戶端解密此資訊，並在安裝中使用此資訊。

   • 如果您正在執行的是一個透過 HTTPS、且進行伺服器認證的更加安全的 WAN 安裝，請繼續。

   • 如果您只想檢查 wanboot 程式的完整性，則無需建立加密密鑰。移至步驟 6。

5. 建立用戶端的加密密鑰。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   建立用戶端的加密密鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (可選擇的) net=net-ip

   指定用戶端的網路 IP 位址。如果您不使用 net 選項，則密鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇的) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則密鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該密鑰。

   type=key-type

   指示 wanbootutil keygen 公用程式為用戶端建立一個加密密鑰。可賦予 key-type 一個 3des 值或 aes 值。

6. 在用戶端系統上安裝密鑰。

   如需有關如何在用戶端上安裝密鑰的說明，請參閱在用戶端上安裝密鑰。

範例 43–4 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的密鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 密鑰。此範例還為子網路 192.168.255.0 上的用戶端 010003BA152A42 建立 HMAC SHA1 雜湊密鑰和 3DES 加密密鑰。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者身份為 nobody。

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des