客户机 AI 安全功能可带来以下好处:
AI 服务器可验证 AI 客户机的身份。
网络上的数据经过加密。
对于具有定制凭证的客户机,任何其他客户机将无法读取特定于某个客户机的任何已发布文件。
只有已验证的客户机才能访问用户指定的安全目录(如配置 Web 服务器用户文件目录中所述)
可为以下对象生成或指定凭证:特定客户机、特定安装服务的客户机或尚未具有凭证的任何客户机。所生成的 OBP 密钥用于双向(客户机和服务器)验证。如果为 SPARC 客户机分配安全凭证,则当引导客户机进行 AI 安装时,必须提供 OBP 密钥。请参见使用安全下载安装 SPARC 客户机。
本示例指定了用户提供的凭证。如果客户机是 SPARC 系统,则会生成 OBP 密钥(如果尚不存在)如果生成了 OBP 密钥,则会显示用于设置这些密钥的 OBP 命令。
# installadm set-client -e 02:00:00:00:00:00 -C client.crt -K client.key -A cacert.pem
请参见配置安全凭证中有关使用 –C、–K 和 –A 选项的评论。如果未指定 CA 证书,则必须先分配了用于生成这些客户机凭证的 CA 证书。
有关使用 –E 和 –H 选项的信息,请参见SPARC 客户机的 OBP 安全密钥。
示例 8-26 特定安装服务的客户机的凭证本示例为分配给 solaris11_2-sparc 安装服务但尚未分配到凭证的任何客户机提供凭证。
# installadm set-service -g -n solaris11_2-sparc Generating credentials for service solaris11_2-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 34bc980ccc8dfee478f89b5acbdf51b4 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 b8a9f0b3472e8c3b29443daf7c9d448faad14fee
由于此安装服务是 SPARC 安装服务,因此还会生成 OBP 密钥,并会显示用于设置这些密钥的 OBP 命令。
如果未通过指定 MAC 地址为随后分配给 solaris11_2-sparc 安装服务的客户机分配凭证,则这些客户机也会使用这些凭证。
当希望在多个客户机之间保持一组一致的应用程序时,此选项非常有用。但是,此安装服务的所有客户机如果未通过指定 MAC 地址分配到凭证,那么它们将具有相同凭证并且可以查看彼此的安装数据。
请参见配置安全凭证中有关使用 –C、–K 和 –A 选项的评论。
有关使用 –E 和 –H 选项的信息,请参见SPARC 客户机的 OBP 安全密钥。
示例 8-27 缺省客户机凭证本示例为任何未分配凭证的客户机提供一组缺省凭证。
# installadm set-server -D -g Generating default client credentials... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 7cdbda5b8fc4b10ffbd29fa19d13af77 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 14effe2c515da4940ef1db165791e92790163004
由于某些客户机可能是 SPARC 客户机,因此还会生成 OBP 密钥,并会显示用于设置这些密钥的 OBP 命令。
分配缺省客户机凭证后,所有客户机预计都会进行客户机和服务器验证,并且 AI 服务器的所有 SPARC 客户机都需要使用固件密钥。此外,由于多个客户机将具有相同凭证,因此它们将能查看彼此的安装数据。
请参见配置安全凭证中有关使用 –C、–K 和 –A 选项的评论。
有关使用 –E 和 –H 选项的信息,请参见SPARC 客户机的 OBP 安全密钥。
要使 SPARC 客户机受益于增强的安全功能,就必须在引导客户机执行 AI 安装时设置 OBP 安全密钥。
将 installadm 命令与 set-server、set-service 或 set-client 子命令配合使用以生成或指定 TLS 凭证时,如果散列 (HMAC) 密钥和加密密钥尚不存在,则会自动生成并显示它们。重复运行同一个命令时,不会自动重新生成这些固件密钥。
可以使用 –E 和 –H 选项重新生成 OBP 密钥。如果 OBP 密钥不存在,请勿指定 –E 或 –H 选项。已经存在的加密密钥或 HMAC 会失效并遭到替换。使用 –E 选项可重新生成加密密钥。使用 –H 选项可重新生成散列密钥。可以同时指定 –E 选项和 –H 选项,也可以仅指定 –E 选项或 –H 选项。运行该命令时,已经存在的 OBP 密钥会失效并被新生成的值替换。将显示用于设置这些密钥的 OBP 命令。
要在以后显示用于设置 OBP 安全密钥的 OBP 命令,请将 –v 选项与 list 子命令配合使用,如以下示例所示:
# installadm list -v -e mac-addr
此命令可显示该客户机的正确 OBP 密钥,以及显示 TLS 凭证是使用客户机 MAC 地址还是使用安装服务名称指定的,或者显示 TLS 凭证是否为缺省客户机凭证。list 子命令的输出可显示 OBP 密钥是为该特定客户机定义的还是为指定安装服务或缺省客户机定义的,如Example 8–41 中所示。
通过使用本节所述的选项,无需删除安全配置即可禁用安全要求,然后使用先前配置的服务器和客户机验证设置重新启用安全要求。
缺省情况下会启用安全功能。禁用安全功能时,将不向客户机发出凭证,并且不需要客户机提供凭证。禁用安全设置时,将不向提供给 AI 客户机的任何 AI 文件提供 HTTPS 网络保护。禁用安全功能时,由 AI Web 服务器提供服务的用户指定的安全文件(如配置 Web 服务器用户文件目录中所述)不可访问。
禁用安全设置时,您可以继续配置安全性。所有更改会在重新启用安全设置时生效。
使用以下命令可在服务器范围内禁用安全实施:
# installadm set-server -S Refreshing web server. Automated Installer security has been disabled.
对已经配置了安装服务的系统禁用安全功能时应十分谨慎。将不需要验证就可以访问受保护的安装服务数据,并且未经过验证的客户机将可以通过 AI 安装 Oracle Solaris。
使用 set-security --disable 命令禁用了安全实施后,可使用以下命令重新启用安全实施:
# installadm set-security -s Configuring web server security. Refreshing web server. Warning: client 02:00:00:00:00:00 of service solaris11_2-i386 is required to have credentials but has none. Automated Installer security has been enabled.
使用 installadm 命令可删除安全凭证。使用 set-server、set-service 和 set-client 子命令可删除安全凭证。
运行 delete-client 或 delete-service 子命令也可删除安全凭证。delete-client 命令可删除所有特定于客户机的凭证。delete-service 子命令可删除所有特定于服务的凭证,以及该服务和任何别名服务中所有客户机的任何特定于客户机的凭证。
注意-删除的凭证无法恢复,而 TLS 安全协议无法在没有服务器凭证的情况下运行。在删除服务器凭证之前将禁用 AI 安全性。
示例 8-28 删除一个客户机的凭证本示例将删除通过使用 MAC 地址分配给客户机的私钥和证书、任何 CA 证书以及任何 OBP 密钥。如果在客户机固件中设置了 OBP 密钥,请按删除散列密钥和加密密钥中所述取消设置这些密钥。
# installadm set-client -e mac-addr -x示例 8-29 删除 CA 证书
本示例为使用指定 CA 证书的所有客户机删除该 CA 证书。–hash 选项参数的值是证书的 X.509 主题的散列值,如 list 子命令以及Example 8–41 中所示。将对正在使用指定 CA 证书的任何客户机进行计数,并随用于确认是否要继续的提示内容一起显示。
$ installadm set-client -x --hash b99588cf Identifier hash: b99588cf Subject: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca Issuer: /C=CZ/O=Oracle Czech s.r.o./OU=install/CN=genca Valid from Apr 27 13:12:27 2012 GMT to Apr 27 13:12:27 2015 GMT This CA has the following uses: WARNING: this is the server CA certificate Deleting this Certificate Authority certificate can prevent credentials from validating. Do you want to delete this Certificate Authority certificate [y|N]: y Deleting all references to Certificate Authority with hash value b99588cf
注意-在本示例中,将为使用该 CA 证书的所有客户机删除该证书的所有实例;无法再对受影响的客户机进行验证。使用指定 CA 证书生成证书后,installadm 命令不再能够生成证书。
示例 8-30 删除服务器安全凭证本示例将删除服务器的私钥和证书、任何 CA 证书以及仅用于服务器验证的 OBP 密钥:
# installadm set-server -x