| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 10 1/13 설치 설명서: 네트워크 기반 설치 Oracle Solaris 10 1/13 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 10 1/13 설치 설명서: 네트워크 기반 설치 Oracle Solaris 10 1/13 Information Library (한국어) |
3. 이름 지정 서비스 또는 DHCP를 사용하여 미리 구성
제2부LAN(Local Area Network)을 통한 설치
제3부WAN(Wide Area Network)을 통한 설치
WAN(Wide Area Network)을 통해 설치(작업 맵)
SPARC: WAN 부트 서버에 wanboot 프로그램을 설치하는 방법
WAN 부트 서버에 /etc/netboot 계층 만들기
WAN 부트 서버에 /etc/netboot 계층을 만드는 방법
WAN 부트 CGI 프로그램을 WAN 부트 서버로 복사
WAN 부트 서버에서 클라이언트로 전송하는 동안 데이터를 보호하기 위해 Secure Sockets Layer (HTTPS)를 통한 HTTP를 사용할 수 있습니다. 보안 WAN 부트 설치 구성에서 설명하는 보안이 강화된 설치 구성을 사용하려면 웹 서버가 HTPPS를 사용하도록 설정해야 합니다.
보안 WAN 부트를 수행하지 않으려는 경우 이 부분의 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 JumpStart 설치 파일 만들기를 참조하십시오.
WAN 부트 서버의 웹 서버 소프트웨어에서 HTTPS를 사용하게 하려면 다음 작업을 수행해야 합니다.
웹 서버 소프트웨어에서 SSL (Secure Sockets Layer) 지원을 활성화합니다.
SSL 지원 및 클라이언트 인증 사용으로 설정 프로세스는 웹 서버에 따라 달라집니다. 이 문서에서는 사용자 웹 서버에서 이러한 보안 기능을 사용으로 설정하는 방법에 대해 설명하지 않습니다. 이러한 기능에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오. Apache 웹 서버에서 SSL을 활성화하는 방법에 대한 자세한 내용은 http://httpd.apache.org/docs-project/의 Apache Document Project를 참조하십시오.
WAN 부트 서버에 디지털 인증서를 설치합니다.
WAN 부트에서 디지털 인증서를 사용하는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증용으로 디지털 인증서를 사용하는 방법을 참조하십시오.
클라이언트에 신뢰된 인증서를 제공합니다.
신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 서버 및 클라이언트 인증용으로 디지털 인증서를 사용하는 방법을 참조하십시오.
해싱 키와 암호 키를 만듭니다.
키를 만드는 방법에 대한 자세한 내용은 해싱 키 및 암호 키를 만드는 방법을 참조하십시오.
(선택 사항) 웹 서버 소프트웨어를 구성하여 클라이언트 인증을 지원합니다.
클라이언트 인증을 지원하도록 웹 서버를 구성하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.
이 부분에서는 WAN 부트 설치에서 디지털 인증서와 키를 만드는 방법에 대하여 설명합니다.
WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항과 지침은 디지털 인증서 요구 사항을 참조하십시오.
보안 WAN 부트를 수행하지 않으려면 JumpStart 설치 파일 만들기로 건너뜁니다.
시작하기 전에
PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.
/etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.
/etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할합니다.
분할할 PKCS#12 파일의 이름을 지정합니다.
클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-IP는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.
클라이언트의 certstore에 클라이언트 인증서를 삽입합니다.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
분할할 PKCS#12 파일의 이름을 지정합니다.
클라이언트의 certstore에 클라이언트 인증서를 삽입합니다. net-IP는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.
분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.
클라이언트의 keystore에 개인 키를 삽입합니다.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
예 12-4 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기
다음 예에서는 PKCS#12 파일을 사용하여 192.168.198.0 서브넷에 010003BA152A42 클라이언트를 설치합니다. 이 명령 샘플은 PKCS#12 파일에서 client.p12라는 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.
이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
다음 순서
디지털 인증서를 만든 후 해싱 키와 암호 키를 만듭니다. 자세한 내용은 해싱 키 및 암호 키를 만드는 방법을 참조하십시오.
참조
신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.
HTTPS를 사용하여 데이터를 전송하려는 경우 HMAC SHA1 해싱 키와 암호 키를 만들어야 합니다. 부분 개인 네트워크를 통해 설치하려는 경우 설치 데이터를 암호화하지 않을 수 있습니다. HMAC SHA1 해싱 키를 사용하여 wanboot 프로그램의 무결성을 검사할 수 있습니다.
보안 WAN 부트를 수행하지 않으려면 JumpStart 설치 파일 만들기로 건너뜁니다.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1해당 마스터 키에서 클라이언트의 해싱 키를 만듭니다.
wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.
클라이언트 서브넷의 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.
클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-IP/keystore 파일에 저장됩니다. 이 키는 net-IP 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
wanbootutil keygen 유틸리티에 지시하여 해당 클라이언트에 대해 HMAC SHA1 해싱 키를 만듭니다.
HTTPS를 통해 WAN 부트를 설치하려면 암호 키를 만들어야 합니다. 클라이언트가 WAN 부트 서버와 HTTPS 연결을 설정하기 전에 WAN 부트 서버는 암호화된 데이터와 정보를 해당 클라이언트에게 전송합니다. 암호 키를 사용하면 해당 클라이언트가 이 정보를 해독하여 설치하는 동안 이 정보를 사용할 수 있습니다.
wanboot 프로그램의 무결성만 검사하려는 경우 암호 키를 만들 필요가 없습니다. 클라이언트에 키 설치를 참조하십시오.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type클라이언트의 암호 키를 만듭니다.
wanbootutil keygen 명령에 추가 옵션이 포함되어 있음을 나타냅니다.
클라이언트의 네트워크 IP 주소를 지정합니다. net 옵션을 사용하지 않는 경우 해당 키가 /etc/netboot/keystore 파일에 저장되어 모든 WAN 부트 클라이언트가 이 키를 사용할 수 있습니다.
클라이언트 ID를 지정합니다. 클라이언트 ID는 사용자가 정의한 ID이거나 DHCP 클라이언트 ID입니다. cid 옵션 앞에는 유효한 net= 값이 와야 합니다. net 옵션을 사용하여 cid 옵션을 지정하지 않으면 해당 키가 /etc/netboot/net-ip/keystore 파일에 저장됩니다. 이 키는 net-ip 서브넷에 있는 모든 WAN 부트 클라이언트가 사용할 수 있습니다.
wanbootutil keygen 유틸리티에 지시하여 클라이언트의 암호 키를 만듭니다. key-type은 3des 또는 aes 값일 수 있습니다.
예 12-5 HTTPS를 통한 WAN 부트 설치 시 필요한 키 만들기
다음 예에서는 WAN 부트 서버의 마스터 HMAC SHA1 키를 만듭니다. 이 예에서는 또한 서브넷 192.168.198.0에서 클라이언트 010003BA152A42에 대한 HMAC SHA1 해싱 키 및 3DES 암호 키를 만듭니다.
이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
다음 순서
해싱 키 및 암호 키를 만든 후 설치 파일을 만들어야 합니다. 자세한 내용은 JumpStart 설치 파일 만들기를 참조하십시오.
클라이언트에 키를 설치하는 방법에 대한 자세한 내용은 클라이언트에 키 설치를 참조하십시오.
참조
해싱 키와 암호 키에 대한 개요 정보는 WAN 부트 설치 시 데이터 보호를 참조하십시오.
해싱 및 암호 키를 만드는 방법에 대한 자세한 내용은 wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.
|