使用 HTTPS 保護資料

若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料，可以透過安全通訊端層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所述的更安全的安裝配置，您的 Web 伺服器必須使用 HTTPS。

如果您不想執行安全 WAN Boot，請略過本區段中的程序。若要繼續準備低安全性的安裝，請參閱建立 JumpStart 安裝檔案。

若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS，您必須執行以下作業。

• 在 Web 伺服器軟體中啟動安全通訊端層 (SSL) 支援。

  啟動 SSL 支援和用戶端驗證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需這些功能的資訊，請參閱 Web 伺服器說明文件。如需在 Apache Web 伺服器上啟動 SSL 的資訊，請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。

• 在 WAN Boot 伺服器上安裝數位憑證。

  如需數位憑證搭配 WAN Boot 使用的資訊，請參閱如何在伺服器和用戶端驗證時使用數位憑證。

• 向用戶端提供受信任的憑證。

  如需如何建立可信任的證書的資訊，請參閱如何在伺服器和用戶端驗證時使用數位憑證。

• 建立雜湊金鑰和加密金鑰。

  如需如何建立金鑰的說明，請參閱如何建立雜湊金鑰與加密金鑰。

• (可選擇) 將 Web 伺服器軟體配置為支援用戶端驗證。

  如需如何將 Web 伺服器配置為支援用戶端驗證的資訊，請參閱 Web 伺服器說明文件。

本節說明如何在 WAN Boot 安裝中使用數位憑證與金鑰。

如何在伺服器和用戶端驗證時使用數位憑證

WAN Boot 安裝方法可以使用 PKCS#12 檔案，透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需使用 PKCS#12 檔案的需求和準則，請參閱數位憑證需求。

若不要執行安全的 WAN Boot，請跳至建立 JumpStart 安裝檔案。

開始之前

在分割 PKCS#12 檔案之前，在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。

• 如需描述 /etc/netboot 階層的簡介資訊，請參閱在 /etc/netboot 階層中儲存配置與安全資訊。

• 如需如何建立 /etc/netboot 階層的說明，請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。

1. 假定在 WAN Boot 伺服器上使用者身分與 Web 伺服器使用者身分相同。
2. 藉由在 /etc/netboot 階層中用戶端 truststore 檔案中插入憑證，從 PKCS#12 檔案中擷取受信任的憑證。

   # wanbootutil p12split -i p12cert \
   -t /etc/netboot/net-IP/client-ID/truststore

   p12split

   將 PKCS#12 檔案分割為分開的私密金鑰和憑證檔案。

   -i p12cert

   指定要分割的 PKCS#12 檔案之名稱。

   -t /etc/netboot/net-IP /client-ID/truststore

   在用戶端的 truststore 檔案中插入憑證。net-IP 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

3. (可選擇) 若要要求用戶端驗證：

   • 在用戶端的 certstore 中插入用戶端憑證。

     # wanbootutil p12split -i p12cert -c \
     /etc/netboot/net-IP/client-ID/certstore -k keyfile

     -i p12cert

     指定要分割的 PKCS#12 檔案之名稱。

     -c /etc/netboot/net-IP/ client-ID/certstore

     在用戶端的 certstore 中插入用戶端的憑證。net-IP 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

     -k keyfile

     指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。

   • 在用戶端的 keystore 中插入私密金鑰。

     # wanbootutil keymgmt -i -k keyfile \
     -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa

     keymgmt -i

     在用戶端的 keystore。 中插入 SSL 私密金鑰

     -k keyfile

     指定在上一步驟中建立的用戶端私密金鑰檔案之名稱

     -s /etc/netboot/net-IP/ client-ID/keystore.

     指定用戶端的 keystore 的路徑。

     -o type=rsa

     將金鑰類型指定為 RSA

範例 12-4 為伺服器驗證建立受信任的憑證

在下列範例中，使用 PKCS#12 檔案，在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例從名為 client.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。

在執行這些指令之前，您必須先假定使用者身分與 Web 伺服器使用者身分相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

接下來的步驟

建立數位憑證之後，您就可以建立雜湊金鑰與加密金鑰。如需說明，請參閱如何建立雜湊金鑰與加密金鑰。

另請參閱

如需如何建立可信任憑證的詳細資訊，請參閱 wanbootutil(1M) 線上手冊。

如何建立雜湊金鑰與加密金鑰

如果要使用 HTTPS 來傳送資料，則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計畫透過一個半私有網路進行安裝，您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。

若不要執行安全的 WAN Boot，請跳至建立 JumpStart 安裝檔案。

1. 假定在 WAN Boot 伺服器上使用者身分與 Web 伺服器使用者身分相同。
2. 建立主 HMAC SHA1 金鑰。

   # wanbootutil keygen -m

3. 由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。

   # wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1

   -c

   由主金鑰建立用戶端的雜湊金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (Optional) net=net-IP

   指定用戶端的子網路的 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-IP/keystore 檔案中。net-IP 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=sha1

   指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。

4. 如果您正在執行的是一個透過 HTTPS、並使用伺服器驗證的更安全的 WAN 安裝，請為用戶端建立加密金鑰。

   您需要建立加密金鑰，以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前，WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊，並在安裝期間使用此資訊。

   如果您只想檢查 wanboot 程式的完整性，則無需建立加密金鑰。請參閱在用戶端上安裝金鑰。

   # wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type

   -c

   建立用戶端的加密金鑰。

   -o

   指出 wanbootutil keygen 指令中包含了其他的選項。

   (Optional) net=net-IP

   指定用戶端的網路 IP 位址。如果您不使用 net 選項，則金鑰會儲存在 /etc/netboot/keystore 檔案中，所有的 WAN Boot 用戶端均可使用它。

   (可選擇) cid=client-ID

   指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項，則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。

   type=key-type

   指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。

範例 12-5 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的金鑰

以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42，建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。

在執行這些指令之前，您必須先假定使用者身分與 Web 伺服器使用者身分相同。在此範例中，Web 伺服器使用者角色是 nobody。

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

接下來的步驟

建立雜湊與加密金鑰之後，就必須建立安裝檔案。如需說明，請參閱建立 JumpStart 安裝檔案。

如需在用戶端上安裝金鑰的指示，請參閱在用戶端上安裝金鑰。

另請參閱

如需雜湊金鑰和加密金鑰的簡介資訊，請參閱在 WAN Boot 安裝期間保護資料。

如需如何建立雜湊金鑰和加密金鑰的詳細資訊，請參閱 wanbootutil(1M) 線上手冊。