以下命令可自动生成 X.509 根 CA 证书,并为 CA 证书、服务器证书和私钥以及用于 AI 服务器验证的 OBP 密钥签名。仅当 CA 证书和 OBP 密钥尚不存在时才生成它们。如果生成了 OBP 密钥,则会显示用于设置这些密钥的 OBP 命令。
# installadm set-server -g
The root CA certificate has been generated.
The CA signing certificate request has been generated.
The signing CA certificate has been generated.
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key for server authentication only, enter
this OBP command:
set-security-key wanboot-aes 8d210964e95f2a333c5e749790633273
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key for server authentication only,
enter this OBP command:
set-security-key wanboot-hmac-sha1 4088861239fa3f3bed22f8eb885bfa476952fab4
Configuring web server security.
Changed Server
有关配置 AI 服务器凭证的更多信息,请参见配置 AI 服务器凭证。
以下示例指定了要求客户机验证以使用安装服务的安全设置。要保护所有客户机以及与特定安装服务关联的所有数据,请使用 require-client-auth 安装服务安全设置,以要求同时通过服务器验证和客户机验证对所有客户机进行保护。在本示例中,客户机必须具有 X.509 凭证才能访问任何 svcname 安装服务数据。
# installadm set-service -p require-client-auth -n svcname
有关配置安装服务安全策略的更多信息,请参见配置安全安装服务。
以下示例将自动生成专用 X.509 证书和密钥对及 X.509 CA 证书以对指定客户机进行验证,其中 02:00:00:00:00:00 是该客户机的 MAC 地址。通过指定 MAC 地址分配的客户机凭证对于每个客户机是唯一的。仅当 CA 证书尚不存在时才会生成它。如果客户机是 SPARC 系统,还会生成 OBP 密钥(如果尚不存在),并会显示用于设置这些密钥的 OBP 命令。
# installadm set-client -e 02:00:00:00:00:00 -g Generating credentials for client 02:00:00:00:00:00... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb Changed Client: '02:00:00:00:00:00'
有关配置客户机凭证的更多信息,请参见配置客户机凭证。
对分配了安全凭证的 SPARC 客户机来说,当引导客户机进行 AI 安装时,必须设置 OBP 安全密钥(散列密钥和加密密钥)。以下示例将在 SPARC 客户机控制台上设置 OBP AES 加密密钥。
ok set-security-key wanboot-aes 030fd11c98afb3e434576e886a094c1c
以下示例将在 SPARC 客户机控制台上设置 OBP 散列 (HMAC) 密钥。
ok set-security-key wanboot-hmac-sha1 e729a742ae4ba977254a2cf89c2060491e7d86eb
有关更多信息和示例,请参见使用安全下载安装 SPARC 客户机。
如果 AI 清单指定了具有安全源的发布者,请在 publisher 元素的 credentials 子元素中指定密钥和证书。有关详细信息,请参见 ai_manifest(4) 手册页的 "Software"(软件)部分。您可以在 image 元素的属性中指定 SSL 密钥和证书,但此密钥和证书仅应用到清单中指定的第一个发布者。如果同时在 image 元素和 credentials 元素中指定了密钥和证书,则会使用在 credentials 元素中指定的凭证。请考虑在 AI Web 服务器上用户指定的目录中查找密钥文件和证书文件。有关信息,请参见配置 Web 服务器用户文件目录。