Para obtener más información, consulte How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services.
El siguiente comando genera automáticamente un certificado de autoridad de certificación root X.509 y un certificado de autoridad de certificación de firma, un certificado de servidor y una clave privada, y las claves de OBP para la autenticación del servidor AI. El certificado de autoridad de certificación y las claves de OBP se generan sólo si aún no existen. Si se generan claves de OBP, se muestran los comandos de OBP para establecer estas claves.
# installadm set-server -g
The root CA certificate has been generated.
The CA signing certificate request has been generated.
The signing CA certificate has been generated.
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key for server authentication only, enter
this OBP command:
set-security-key wanboot-aes 8d210964e95f2a333c5e749790633273
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key for server authentication only,
enter this OBP command:
set-security-key wanboot-hmac-sha1 4088861239fa3f3bed22f8eb885bfa476952fab4
Configuring web server security.
Changed Server
Para obtener más información sobre la configuración de credenciales del servidor AI, consulte Configuración de credenciales de servidor AI.
En el siguiente ejemplo, se especifica una configuración de seguridad que requiere la autenticación del cliente para utilizar un servicio de instalación. Para proteger todos los clientes y todos los datos asociados a un servicio de instalación específico, utilice la configuración de seguridad de servicio de instalación require-client-auth para requerir que todos los clientes estén protegidos con autenticación tanto de servidor como de cliente. En este ejemplo, un cliente debe tener credenciales X.509 para acceder a cualquier dato del servicio de instalación svcname.
# installadm set-service -p require-client-auth -n svcname
Para obtener más información sobre la configuración de políticas de seguridad de servicio de instalación, consulte Configuración de servicios de instalación seguros.
En el ejemplo siguiente, se genera automáticamente un par de clave y certificado X.509 privado, y un certificado de autoridad de certificación X.509 para la autenticación del cliente especificado, donde 02:00:00:00:00:00 es la dirección MAC del cliente. Las credenciales de cliente que se asignan mediante la especificación de la dirección MAC son únicas para cada cliente. El certificado de autoridad de certificación se genera sólo si aún no existe. Si el cliente es un sistema SPARC, también se generan las claves de OBP, si aún no existen, y se muestran los comandos de OBP para establecer estas claves.
# installadm set-client -e 02:00:00:00:00:00 -g Generating credentials for client 02:00:00:00:00:00... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb Changed Client: '02:00:00:00:00:00'
Para obtener más información sobre la configuración de credenciales de cliente, consulte Configuración de credenciales de cliente.
Para los clientes SPARC que tienen las credenciales de seguridad asignadas, debe establecer las claves de seguridad de OBP (clave hash y clave de cifrado) al iniciar el cliente para la instalación AI. En el siguiente ejemplo, se establece la clave de cifrado de AES de OBP en una consola de cliente SPARC.
ok set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c
En el siguiente ejemplo, se establece la clave hash (HMAC) de OBP en una consola de cliente SPARC.
ok set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb
Consulte Instalación de un cliente SPARC mediante descarga segura para obtener más información y ejemplos.
Si un manifiesto de AI especifica un editor que tiene un origen seguro, especifique la clave y los certificados en el subelemento credentials del elemento publisher. Consulte la sección de software de la página del comando man ai_manifest(4) para obtener más información. Puede especificar un certificado y una clave SSL en atributos del elemento image, pero este certificado y esta clave sólo se aplican al primer editor especificado en el manifiesto. Si se especifican claves y certificados en un elemento image y en un elemento credentials, se utilizan las credenciales especificadas en el elemento credentials. Considere la localización de los archivos de certificados y claves en un directorio especificado por el usuario en el servidor web AI. Consulte Configuración del directorio de archivos de usuario del servidor web para obtener información.