Solaris 9 9/04: Guía de instalación

Uso de certificados digitales para la autenticación del servidor y del cliente

El método de instalación de arranque WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Si desea conocer los requisitos y las directrices sobre el uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.

Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.

La orden wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.

Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.

Creación de un certificado acreditado y de una clave privada de cliente
  1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

  2. Extraiga el certificado acreditado del archivo PKCS#12 e insértelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.


    # wanbootutil p12split -i p12cert \
      -t /etc/netboot/net-ip/client-ID/truststore
    
    p12split

    Opción de la orden wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

    -i p12cert

    Indica el nombre del archivo PKCS#12 que se debe dividir.

    -t /etc/netboot/net-ip/client-ID/truststore

    Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

  3. (Opcional) Decida si desea requerir autenticación de cliente.

    1. Inserte el certificado de cliente en el archivo certstore del cliente.


      # wanbootutil p12split -i p12cert -c \
        /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves
      
      p12split

      Opción de la orden wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

      -i p12cert

      Indica el nombre del archivo PKCS#12 que se debe dividir.

      -c /etc/netboot/ip_red/ID_cliente/certstore

      Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

      -k archivo_claves

      Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.

    2. Inserte la clave privada en el archivo keystore del cliente.


      # wanbootutil keymgmt -i -k archivo_claves \
         -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa
      
      keymgmt -i

      Inserta una clave privada SSL en el archivo keystore del cliente

      -k archivo_claves

      Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior

      -s /etc/netboot/ip_red/ID_cliente/keystore

      Indica la ruta al archivo keystore del cliente

      -o type=rsa

      Indica que el tipo de clave es RSA


Ejemplo 43–3 Creación de un certificado acreditado para la autenticación del servidor

En el ejemplo siguiente, utilice un archivo PKCS#12 para instalar el cliente 010003BA152A42 en la subred 192.168.255.0. Esta muestra de la orden extrae un certificado de un archivo PKCS#12 llamado client.p12. y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.

Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore