Nu înțeleg cum să rezolv problema găinii sau a ouălor la automatizarea instalării serverelor.
Am o serie de servere care pot fi reconstruite prin PXE. Când o mașină este reconstruită, aceasta încarcă toate setările de care are nevoie, inclusiv certificatul său privat pe care îl va folosi pentru a se autentifica atunci când va folosi mai târziu diferite servicii, de pe un server Apache. Acest server Apache identifică clienții după adresele lor IP pentru a le servi fie configurația sau certificatul destinat unui anumit server, fie refuza să-l deservească.
Cu toate acestea, adresa IP a unui client ar putea fi falsificată. La fel și pentru adresa MAC, dacă la un moment dat adaug și acest tip de verificare.
Pentru a-și prelua configurația și certificatul privat în siguranță, mașina care pornește prin PXE ar trebui să aibă deja un certificat pe care l-ar putea folosi atunci când comunică cu serverul Apache. Acest lucru, totuși, nu pare posibil, deoarece o mașină care pornește de la PXE este fie proaspăt nouă, fie își va formata oricum discul în timpul instalării.
Am pierdut ceva? Cum pot identifica o mașină nouă, fără riscul de falsificare?
Ar trebui să folosesc o cheie USB întotdeauna conectată care conține cheia privată? Sau mai sunt si alte optiuni?
