test

Solaris 9 9/04 安裝指南

在用戶端上安裝密鑰

若要進行需要檢查資料完整性的較安全 WAN Boot 安裝或不安全安裝,則必須在用戶端上安裝密鑰。 透過使用隨機密鑰與加密密鑰,可以保護傳輸至用戶端的資料。 可以使用下列方法安裝這些密鑰。

也可以在執行中用戶端的 OBP 內安裝密鑰。 如果要在執行中的用戶端上安裝金鑰,則系統必須執行 Solaris 9 12/03 作業環境或相容版本。

您在用戶端上安裝密鑰時,請確保密鑰值不會透過不安全連接進行傳輸。 請遵循網站的安全性策略以確保密鑰值的私密性。

在用戶端 OBP 內安裝密鑰

如果要指定 OBP 網路啟動引數變數的密鑰值,請遵循以下步驟執行。

  1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

  2. 顯示每個用戶端密鑰的密鑰值。 


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    net-ip

    用戶端的子網路 IP 位址。

    client-ID

    要安裝的用戶端 ID。 用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。

    key-type

    要在用戶端上安裝的密鑰類型。 有效的密鑰類型包括 3desaessha1

    螢幕上會顯示十六進制的密鑰值。

  3. 對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。

  4. 使用戶端系統執行 0 階層。 


    # init 0

    螢幕上會顯示 ok 提示。

  5. 在用戶端 ok 提示下,設定隨機密鑰的值。 


    ok set-security-key wanboot-hmac-sha1 key-value
    set-security-key

    在用戶端上安裝密鑰

    wanboot-hmac-sha1

    指示 OBP 安裝 HMAC SHA1 隨機密鑰

    key-value

    指定顯示於步驟 2 中的十六進制字串。

    HMAC SHA1 隨機密鑰安裝在用戶端 OBP 中。

  6. 在用戶端 ok 提示下,安裝加密密鑰。 


    ok set-security-key wanboot-3des key-value
    set-security-key

    在用戶端上安裝密鑰

    wanboot-3des

    指示 OBP 安裝 3DES 加密密鑰。 如果要使用 AES 加密密鑰,請將該值設定為 wanboot-aes

    key-value

    指定表示加密密鑰的十六進制字串。

    3DES 加密密鑰安裝在用戶端 OBP 中。

    安裝完密鑰之後,便可以準備安裝用戶端。 請參閱安裝用戶端 ,以取得有關如何安裝用戶端系統的說明。

  7. (選擇性的) 確認在用戶端 OBP 中設定了密鑰。 


    ok list-security-keys
Security Keys:
         wanboot-hmac-sha1
         wanboot-3des

  8. (選擇性的) 如果需要刪除密鑰,請輸入以下指令。 


    ok set-security-key key-type
    key-type

    指定需要刪除的密鑰類型。 使用值 wanboot-hmac-sha1wanboot-3deswanboot-aes

範例 44–3 在用戶端 OBP 內安裝密鑰

以下範例顯示了如何在用戶端 OBP 內安裝隨機密鑰與加密密鑰。

顯示 WAN Boot 伺服器上的密鑰值。 


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上範例使用了以下資訊。

net=192.168.198.0

指定用戶端子網路的 IP 位址

cid=010003BA152A42

指定用戶端 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定用戶端的 HMAC SHA1 隨機密鑰值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定用戶端的 3DES 加密密鑰值

如果要在安裝中使用 AES 加密密鑰,請將 wanboot-3des 變更為 wanboot-aes 以顯示加密密鑰值。

在用戶端系統上安裝密鑰。 


ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上指令執行下列工作。

在執行中的用戶端上安裝隨機密鑰與加密密鑰

如果要在執行中用戶端的 OBP 內安裝隨機密鑰與加密密鑰,請遵循以下步驟執行。

註解 –

此程序做出下列假定。

  1. 假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

  2. 顯示用戶端密鑰的密鑰值。 


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    net-ip

    用戶端的子網路 IP 位址。

    client-ID

    要安裝的用戶端 ID。 用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。

    key-type

    要在用戶端上安裝的密鑰類型。 有效的密鑰類型包括 3desaessha1

    螢幕上會顯示十六進制的密鑰值。

  3. 對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。

  4. 成為用戶端機器上的超級使用者。

  5. 在執行中的用戶端機器上安裝必要的密鑰。 


    # /usr/lib/inet/wanboot/ickey -o type=key-type
> key-value
    key-type

    指定要在用戶端上安裝的密鑰類型。 有效的密鑰類型包括 3desaessha1

    key-value

    執行顯示於步驟 2 中的十六進制字串。

  6. 對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。

    安裝完密鑰之後,便可以準備安裝用戶端。 請參閱安裝用戶端 ,以取得有關如何安裝用戶端系統的說明。

範例 44–4 在執行中的用戶端系統 OBP 內安裝密鑰

以下範例顯示了如何在執行中用戶端的 OBP 內安裝密鑰。

顯示 WAN Boot 伺服器上的密鑰值。 


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上範例使用了以下資訊。

net=192.168.198.0

指定用戶端子網路的 IP 位址

cid=010003BA152A42

指定用戶端 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定用戶端的 HMAC SHA1 隨機密鑰值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定用戶端的 3DES 加密密鑰值

如果您在安裝中使用 AES 加密密鑰,請將 type=3des 變更為 type=aes,以顯示該加密密鑰值。

在執行中用戶端的 OBP 內安裝密鑰。 


# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上指令執行下列工作。