在伺服器和用戶端認證時使用數位證書 (Solaris 9 9/04 安裝指南)

Solaris 9 9/04 安裝指南

在伺服器和用戶端認證時使用數位證書

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器認證或者同時具有伺服器認證與用戶端認證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求與準則，請參閱數位證書需求。

若要在 WAN Boot 安裝中使用 PKCS#12 檔案，請執行以下工作。

將 PKCS#12 檔案分割為單獨的 SSL 私密密鑰和可信賴的證書檔案。
將可信賴的軟體插入 /etc/netboot 階層結構中的用戶端的 truststore 檔案中。可信賴的證書會指示用戶端信賴伺服器。
(可選擇) 在 /etc/netboot 階層機構中的用戶端的 keystore 檔案裡插入 SSL 私密密鑰檔案之內容。

wanbootutil 指令提供了用以執行上述清單中工作的選項。

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

如需介紹 /etc/netboot 階層結構的摘要資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
如需有關如何建立 /etc/netboot 階層結構的說明，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

建立可信賴的證書和用戶端私密密鑰

假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。

從 PKCS#12 檔案中擷取可信賴的證書。在 /etc/netboot 階層結構中的用戶端的 truststore 檔案內插入證書。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
p12split

可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。

-i p12cert

指定要分割的 PKCS#12 檔案之名稱。

-t /etc/netboot/net-ip/client-ID/truststore

在用戶端的 truststore 檔案中插入證書。 net-ip 是用戶端子網路的 IP 位址。 client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

(選擇性的) 決定是否要求進行用戶端認證。
- 如果是的話，請繼續執行以下步驟。
- 如果不要求，請移至建立隨機密鑰和加密密鑰。
1. 在用戶端的 certstore 中插入用戶端證書。
  # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
  p12split
  
  可將 PKCS#12 檔案分割為單獨的私密密鑰檔案和證書檔案的 wanbootutil 指令的選項。
  
  -i p12cert
  
  指定要分割的 PKCS#12 檔案之名稱。
  
  -c /etc/netboot/net-ip/client-ID/certstore
  
  在用戶端的 certstore 中插入用戶端的證書。 net-ip 是用戶端子網路的 IP 位址。 client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。
  
  -k keyfile
  
  指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密密鑰檔案之名稱。
2. 在用戶端的 keystore 中插入私密密鑰。
  # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
  keymgmt -i
  
  在用戶端的 keystore 中插入 SSL 私密密鑰。
  
  -k keyfile
  
  指定在上一步驟中建立的用戶端私密密鑰檔案之名稱
  
  -s /etc/netboot/net-ip/client-ID/keystore
  
  指定用戶端的 keystore 的路徑。
  
  -o type=rsa
  
  指定密鑰的類型為 RSA

範例 43–3 為伺服器認證建立可信賴的證書

在下列範例中，將使用 PKCS#12 檔案在子網路 192.168.255.0 上安裝用戶端 010003BA152A42。該指令範例從名為 client.p12 的 PKCS#12 檔案中擷取證書。然後該指令會將可信賴的證書的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中，Web 伺服器使用者身份為 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore