Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.
Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:
Teilen Sie die PKCS#12-Datei in einen privaten SSL-Schlüssel und ein vertrauenswürdiges Zertifikat auf.
Fügen Sie das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. Dieses Zertifikat weist den Client an, den Server als vertrauenswürdig zu akzeptieren.
(Optional) Fügen Sie den Inhalt der Datei des privaten SSL-Schlüssels in die Datei keystore des Clients in der /etc/netboot-Hierarchie ein.
Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.
Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Einen Überblick über die /etc/netboot-Hierarchie bietet Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie .
Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server .
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/Netz-IP/Client-ID/truststore |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
(Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.
Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.
Anderenfalls fahren Sie mit Erzeugen eines Hashing- und eines Chiffrierschlüssels fort.
Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
# wanbootutil keymgmt -i -k Schlüsseldatei \ -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa |
Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.
Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.
Gibt den Pfad zur Datei keystore des Clients an.
Gibt RSA als Schlüsseltyp an.
Im folgenden Beispiel für die Installation des Clients 010003BA152A42 im Teilnetz 192.168.255.0 eine PKCS#12-Datei eingesetzt. Dieser Beispielbefehl extrahiert ein Zertifikat namens client.p12 aus einer PKCS#12-Datei. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |