JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 10 1/13 安装指南:基于网络的安装     Oracle Solaris 10 1/13 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分规划从网络进行安装

1.  在何处查找 Oracle Solaris 安装规划信息

2.  预配置系统配置信息(任务)

3.  使用命名服务或 DHCP 进行预配置

第 2 部分通过局域网进行安装

4.  从网络进行安装(概述)

5.  使用 DVD 介质从网络进行安装(任务)

6.  使用 CD 介质从网络进行安装(任务)

7.  修补 miniroot 映像(任务)

8.  通过网络进行安装(示例)

9.  从网络进行安装(命令参考)

第 3 部分通过广域网进行安装

10.  WAN boot(概述)

11.  准备使用 WAN boot 进行安装(规划)

12.  使用 WAN boot 进行安装(任务)

通过广域网进行安装(任务列表)

配置 WAN boot 服务器

创建文档根目录

创建 WAN boot miniroot

SPARC: 如何创建 WAN boot miniroot

在客户机上验证 WAN boot 支持

如何检查客户机 OBP 是否支持 WAN boot

在 WAN boot 服务器上安装 wanboot 程序

SPARC: 如何在 WAN boot 服务器上安装 wanboot 程序

在 WAN boot 服务器上创建 /etc/netboot 分层结构

如何在 WAN boot 服务器上创建 /etc/netboot 分层结构

将 WAN boot CGI 程序复制到 WAN boot 服务器

如何将 wanboot-cgi 程序复制到 WAN boot 服务器

如何配置 WAN boot 日志服务器

使用 HTTPS 保护数据

如何使用数字证书进行服务器和客户机验证

如何创建散列密钥和加密密钥

创建 JumpStart 安装文件

如何创建 Flash 归档文件

如何创建 sysidcfg 文件

如何创建 JumpStart 配置文件

如何创建 JumpStart rules 文件

创建开始脚本和结束脚本

创建配置文件

如何创建系统配置文件

如何创建 wanboot.conf 文件

使用 DHCP 服务器提供配置信息

13.  SPARC: 使用 WAN boot 进行安装(任务)

14.  SPARC: 使用 WAN boot 进行安装(示例)

15.  WAN boot(参考)

第 4 部分附录

A.  故障排除(任务)

B.  远程安装或升级(任务)

词汇表

索引

使用 HTTPS 保护数据

要在从 WAN boot 服务器到客户机的传送期间保护数据,可以使用安全套接字层上的 HTTP (HTTPS)。要使用安全 WAN boot 安装配置中描述的更多安全安装配置,必须启用您的 Web 服务器以使用 HTTPS。

如果您不想执行安全 WAN boot,请跳过此部分描述的过程。要继续准备进行安全性较低的安装,请参见创建 JumpStart 安装文件

要允许 WAN boot 服务器上的 Web 服务器软件使用 HTTPS,必须执行以下任务。

此部分说明如何在 WAN boot 安装中使用数字证书和密钥。

如何使用数字证书进行服务器和客户机验证

WAN boot 安装方法可以使用 PKCS#12 文件,以通过带有服务器认证/客户机和服务器认证的 HTTPS 来执行安装。有关使用 PKCS#12 文件的要求和指南,请参见数字证书要求

如果您不想执行安全 WAN boot,请跳至创建 JumpStart 安装文件

开始之前

拆分 PKCS#12 文件之前,请在 WAN boot 服务器上创建 /etc/netboot 分层结构的相应子目录。

  1. 采用与 WAN boot 服务器上的 Web 服务器用户相同的用户角色。
  2. 通过将受信任的证书插入客户机 /etc/netboot 分层结构中的 truststore 文件中,从 PKCS#12 文件中提取该证书。
    # wanbootutil p12split -i p12cert \
-t /etc/netboot/net-IP/client-ID/truststore
    p12split

    将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

    -i p12cert

    指定要拆分的 PKCS#12 文件的名称。

    -t /etc/netboot/net-IP /client-ID/truststore

    将证书插入客户机的 truststore 文件中。net-IP 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。

  3. 可选如果您想要求客户机验证:

    • 将客户机证书插入客户机的 certstore 中。

      # wanbootutil p12split -i p12cert -c \
/etc/netboot/net-IP/client-ID/certstore -k keyfile
      -i p12cert

      指定要拆分的 PKCS#12 文件的名称。

      -c /etc/netboot/net-IP/ client-ID/certstore

      将客户机证书插入客户机的 certstore 中。net-IP 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID,也可以是 DHCP 客户机 ID。

      -k keyfile

      指定通过拆分 PKCS#12 文件而创建的客户机 SSL 私钥文件的名称。

    • 将私钥插入客户机的 keystore 中。

      # wanbootutil keymgmt -i -k keyfile \
-s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
      keymgmt -i

      在客户机的 keystore 中插入 SSL 私钥

      -k keyfile

      指定在上一步中创建的客户机私钥文件的名称

      -s /etc/netboot/net-IP/ client-ID/keystore

      指定指向客户机的 keystore 的路径

      -o type=rsa

      将密钥类型指定为 RSA

示例 12-4 创建用于服务器认证的受信任证书

在以下示例中,将使用 PKCS#12 文件在子网 192.168.198.0 中安装客户机 010003BA152A42。此命令样例从名为 client.p12 的 PKCS#12 文件中提取证书。然后将受信任证书的内容放入客户机的 truststore 文件中。

在执行这些命令之前,您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

接下来的步骤

创建数字证书后,请创建一个散列密钥和一个加密密钥。有关说明,请参见如何创建散列密钥和加密密钥

另请参见

有关如何创建受信任证书的更多信息,请参见 wanbootutil(1M) 手册页。

如何创建散列密钥和加密密钥

如果要使用 HTTPS 传送数据,那么您必须创建 HMAC SHA1 散列密钥和加密密钥。如果您计划通过半专用网络进行安装,可能不希望对安装数据进行加密。您可以使用 HMAC SHA1 散列密钥检查 wanboot 程序的完整性。

如果您不想执行安全 WAN boot,请跳至创建 JumpStart 安装文件

  1. 采用与 WAN boot 服务器上的 Web 服务器用户相同的用户角色。
  2. 创建主 HMAC SHA1 密钥。
    # wanbootutil keygen -m
  3. 从主密钥中创建客户机的 HMAC SHA1 散列密钥。
    # wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1
    -c

    从主密钥中创建客户机的散列密钥。

    -o

    指示包含 wanbootutil keygen 命令的附加选项。

    (可选)net=net-IP

    指定客户机子网的 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可供所有 WAN boot 客户机使用。

    (可选)cid=client-ID

    指定客户机 ID。客户机 ID 可以是用户定制的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果指定 net 选项时未带有 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-IP 子网上的所有 WAN boot 客户机均可使用此密钥。

    type=sha1

    指示 wanbootutil keygen 实用程序创建客户机的 HMAC SHA1 散列密钥。

  4. 如果要使用服务器验证通过 HTTPS 执行更安全的 WAN 安装,请为客户机创建加密密钥。

    您需要创建加密密钥以通过 HTTPS 执行 WAN boot 安装。在客户机与 WAN boot 服务器建立 HTTPS 连接之前,WAN boot 服务器会将加密数据和信息传送至客户机。在安装期间,加密密钥使客户机解密此信息,然后使用其中的信息。

    如果只是要检查 wanboot 程序的完整性,则无需创建加密密钥。请参见在客户机上安装密钥

    # wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type
    -c

    创建客户机的加密密钥。

    -o

    指示包含 wanbootutil keygen 命令的附加选项。

    (可选)net=net-IP

    指定客户机的网络 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,并可供所有 WAN boot 客户机使用。

    (可选)cid=client-ID

    指定客户机 ID。客户机 ID 可以是用户定制的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果指定 net 选项时未带有 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN boot 客户机均可使用此密钥。

    type=key-type

    指示 wanbootutil keygen 实用程序创建客户机的加密密钥。key-type 可以具有 3des 的值,也可以具有 aes 的值。

示例 12-5 创建通过 HTTPS 执行 WAN boot 安装时所需的密钥

以下示例创建了 WAN boot 服务器的主 HMAC SHA1 密钥,还创建了子网 192.168.198.0 上的客户机 010003BA152A42 的 HMAC SHA1 散列密钥和 3DES 加密密钥。

在执行这些命令之前,您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

接下来的步骤

创建散列密钥和加密密钥后,您必须创建安装文件。有关说明,请参见创建 JumpStart 安装文件

有关如何在客户机上安装密钥的说明,请参见在客户机上安装密钥

另请参见

有关散列密钥和加密密钥的概述信息,请参见在 WAN boot 安装期间保护数据

有关如何创建散列密钥和加密密钥的更多信息,请参见 wanbootutil(1M) 手册页。

版权所有 © 2011, 2013, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页