자세한 내용은 How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services을 참조하십시오.
다음 명령은 X.509 루트 CA 인증서와 서명 CA 인증서, 서버 인증서 및 개인 키 및 AI 서버 인증용 OBP 키를 자동으로 생성합니다. CA 인증서와 OBP 키는 기존에 없는 경우에만 생성됩니다. OBP 키가 생성된 경우 이러한 키를 설정하는 OBP 명령이 표시됩니다.
# installadm set-server -g
The root CA certificate has been generated.
The CA signing certificate request has been generated.
The signing CA certificate has been generated.
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key for server authentication only, enter
this OBP command:
set-security-key wanboot-aes 8d210964e95f2a333c5e749790633273
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key for server authentication only,
enter this OBP command:
set-security-key wanboot-hmac-sha1 4088861239fa3f3bed22f8eb885bfa476952fab4
Configuring web server security.
Changed Server
AI 서버 자격 증명 구성에 대한 자세한 내용은 AI 서버 자격 증명 구성을 참조하십시오.
다음 예제에서는 설치 서비스를 사용하기 위해 클라이언트 인증이 필요한 보안 설정을 지정합니다. 특정 설치 서비스와 연관된 모든 데이터 및 모든 클라이언트를 보호하려면 require-client-auth 설치 서비스 보안 설정을 사용하여 서버 및 클라이언트 인증을 모두 사용하여 모든 클라이언트가 보호되도록 합니다. 이 예에서 클라이언트가 svcname 설치 서비스 데이터에 액세스하려면 X.509 자격 증명이 있어야 합니다.
# installadm set-service -p require-client-auth -n svcname
설치 서비스 보안 정책 구성에 대한 자세한 내용은 보안 설치 서비스 구성을 참조하십시오.
다음 예제에서는 개인 X.509 인증서 및 키 쌍, 지정한 클라이언트 인증을 위한 X.509 CA 인증서를 자동으로 생성합니다. 여기에서 02:00:00:00:00:00은 클라이언트의 MAC 주소입니다. MAC 주소를 사용하여 지정한 클라이언트 자격 증명은 각 클라이언트마다 고유합니다. CA 인증서는 기존에 없는 경우에만 생성됩니다. 클라이언트가 SPARC 시스템이고 OBP 키가 기존에 없어 생성된 경우 이러한 키를 설정하는 OBP 명령이 표시됩니다.
# installadm set-client -e 02:00:00:00:00:00 -g Generating credentials for client 02:00:00:00:00:00... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb Changed Client: '02:00:00:00:00:00'
클라이언트 자격 증명 구성에 대한 자세한 내용은 클라이언트 자격 증명 구성을 참조하십시오.
보안 자격 증명이 지정된 SPARC 클라이언트의 경우 AI 설치용 클라이언트를 부트할 때 OBP 보안 키(해싱 키 및 암호 키)를 설정해야 합니다. 다음 예제에서는 SPARC 클라이언트 콘솔에서 OBP AES 암호 키를 설정합니다.
ok set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c
다음 예제에서는 SPARC 클라이언트 콘솔에서 OBP 해싱(HMAC) 키를 설정합니다.
ok set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb
자세한 내용과 예제는 보안 다운로드를 사용하여 SPARC 클라이언트 설치를 참조하십시오.
AI 매니페스트에서 보안 원본이 있는 게시자를 지정한 경우 credentials sub-element of the publisher 요소에서 키 및 인증서를 지정합니다. 자세한 내용은 ai_manifest(4) 매뉴얼 페이지의 소프트웨어 절을 참조하십시오. image 요소의 속성에서 SSL 키 및 인증서를 지정할 수 있지만 이 키 및 인증서는 매니페스트에서 지정한 첫번째 게시자에만 적용됩니다. image 요소 및 credentials 요소에서 모두 키와 인증서를 지정한 경우 credentials 요소에서 지정한 자격 증명이 사용됩니다. 키 및 인증서 파일은 AI 웹 서버의 사용자 지정 디렉토리에 두는 것이 좋습니다. 자세한 내용은 웹 서버 사용자 파일 디렉토리 구성을 참조하십시오.