Provisión de un certificado acreditado para el cliente
Provisión de un certificado acreditado para el cliente
Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a
través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado
acreditado que le permite comprobar la identidad del servidor durante la instalación.
Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el
usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado y,
a continuación, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.
En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado
PKCS#12 del servidor, denominado cert.p12, e inserte el certificado acreditado en el directorio
/etc/netboot de wanclient-1.
wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore
(Opcional) Uso de la clave privada y el certificado para la
autenticación de clientes
Si desea proteger los datos durante la instalación, es posible que necesite wanclient-1 para
autenticarse en wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante
arranque WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la
jerarquía /etc/netboot.
Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.
I
Tome el mismo rol de usuario que el usuario del servidor web.
I
Dividir el archivo PKCS#12 en una clave privada y un certificado cliente
Inserte el certificado en el archivo certstore del cliente
I
Insertar la clave privada en el archivo keystore del cliente
I
En este ejemplo asume la función del servidor web de nobody. Después, divide el certificado
PKCS#12 de servidor denominado cert.p12. Se inserta el certificado en la jerarquía /etc/netboot
de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre
wanclient.key en el archivo keystore del cliente.
wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa
286
Guía de instalación de Solaris 10 6/06: instalaciones basadas en red • Mayo de 2006