Pour plus d'informations, reportez-vous à la section How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services.
La commande suivante génère automatiquement un certificat CA root X.509 et un certificat CA de signature, un certificat de serveur et une clé privée ainsi que des clés OBP pour l'authentification du serveur AI. Le certificat CA et les clés OBP sont générés uniquement s'ils n'existent pas déjà. Si les clés OBP sont générées, les commandes OBP permettant de définir ces clés sont affichées.
# installadm set-server -g
The root CA certificate has been generated.
The CA signing certificate request has been generated.
The signing CA certificate has been generated.
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key for server authentication only, enter
this OBP command:
set-security-key wanboot-aes 8d210964e95f2a333c5e749790633273
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key for server authentication only,
enter this OBP command:
set-security-key wanboot-hmac-sha1 4088861239fa3f3bed22f8eb885bfa476952fab4
Configuring web server security.
Changed Server
Pour plus d'informations sur la configuration des informations d'identification du serveur AI, reportez-vous à la section Configuration des informations d'identification du serveur AI.
L'exemple suivant indique un paramètre de sécurité qui exige une authentification client pour utiliser un service d'installation. Pour protéger tous les clients et toutes les données associées à un service d'installation spécifique, utilisez le paramètre de sécurité du service d'installation require-client-auth pour exiger que tous les clients soient sécurisés avec l'authentification serveur et l'authentification client. Dans cet exemple, un client doit disposer des informations d'identification X.509 pour accéder à n'importe quelle donnée du service d'installation svcname.
# installadm set-service -p require-client-auth -n svcname
Pour plus d'informations sur la configuration des stratégies de sécurité du service d'installation, reportez-vous à la section Configuration de services d'installation sécurisés.
L'exemple suivant génère automatiquement un certificat X.509 et une paire de clés privées ainsi qu'un certificat CA X.509 pour l'authentification du client spécifié, dans lequel 02:00:00:00:00:00 est l'adresse MAC du client. Les informations d'identification du client assignées en indiquant l'adresse MAC sont uniques à chaque client. Le certificat CA n'est généré que s'il n'existe pas déjà. Si le client est un système SPARC, les clés OBP sont également générées si elles n'existent pas déjà et les commandes OBP permettant de définir ces clés sont affichées.
# installadm set-client -e 02:00:00:00:00:00 -g Generating credentials for client 02:00:00:00:00:00... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb Changed Client: '02:00:00:00:00:00'
Pour plus d'informations sur la configuration des informations d'identification du client, reportez-vous à la section Configuration des informations d'identification du client.
Pour les clients SPARC auxquels des informations d'identification ont été assignées, vous devez définir les clés de sécurité OBP (clé de hachage et clé de chiffrement) lorsque vous initialisez le client pour l'installation AI. L'exemple suivant définit la clé de chiffrement AES OBP sur une console de client SPARC.
ok set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c
L'exemple suivant définit la clé de hachage OBP (HMAC) sur une console de client SPARC.
ok set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb
Reportez-vous à la section Installation d'un client SPARC à l'aide du téléchargement sécurisé. pour plus d'informations et d'exemples.
Si un manifeste AI spécifie un éditeur dont l'origine est sécurisée, indiquez la clé et les certificats dans le sous-élément credentials de l'élément publisher. Reportez-vous à la section Logiciel de la page de manuel ai_manifest(4) pour plus d'informations. Vous pouvez indiquer une clé et un certificat SSL dans les attributs de l'élément image, mais cette clé et ce certificat ne s'appliquent qu'au premier éditeur spécifié dans le manifeste. Si les clés et certificats sont spécifiés à la fois dans l'élément image et dans un élément credentials, les informations d'identification spécifiées dans l'élément credentials sont utilisées. Tenez compte de la localisation des fichiers de clé et de certificat dans un répertoire spécifié par l'utilisateur sur le serveur Web AI. Reportez-vous à la section Configuration du répertoire des fichiers utilisateur du serveur Web pour plus d'informations.