Я не понимаю, как решить проблему с курицей или яйцом при автоматизации установки серверов.
У меня есть ряд серверов, которые можно восстановить через PXE. Когда машина перестраивается, она загружает все необходимые настройки, включая свой частный сертификат, который она будет использовать для аутентификации при дальнейшем использовании различных служб, с сервера Apache. Этот сервер Apache идентифицирует клиентов по их IP-адресам, чтобы либо предоставить им конфигурацию или сертификат, предназначенный для данного сервера, либо отказаться от их обслуживания.
Однако IP-адрес клиента может быть подделан. То же самое для MAC-адреса, если в какой-то момент я добавлю и такую проверку.
Поэтому, чтобы безопасно получить свою конфигурацию и свой частный сертификат, машина, которая загружается через PXE, уже должна иметь сертификат, который она могла бы использовать при общении с сервером Apache. Это, однако, не представляется возможным, так как машина, которая загружается с PXE, либо новая, либо все равно отформатирует свой диск во время установки.
Я что-то пропустил? Как я могу идентифицировать свежую новую машину без риска спуфинга?
Должен ли я использовать всегда подключенный USB-ключ, содержащий закрытый ключ? Или есть другие варианты?
