Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 |
第 13 章
配置 SSL 加速器本章說明如何配置 Sun Java System Portal Server Secure Remote Access 的不同加速器。
本章涵蓋下列主題:
摘要外部加速器為專用的輔助處理器,可完全卸載伺服器中央處理器的 SSL 運算資源,從而釋出中央處理器以執行其他工作,並提高 SSL 事務處理的處理速度。
Sun Crypto Accelerator 1000Sun Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。
許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務處理的處理速度。
啟用 Crypto Accelerator 1000
請確定已安裝 Portal Server Secure Remote Access,且亦已安裝閘道伺服器認證 (自簽或由任何 CA 所核發)。請參閱證書一節以取得詳細資訊。
表 13-1 是一份核對清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊。SSL Accelerator 列出了 Crypto Accelerator 1000 參數與值。
表 13-1 Crypto Accelerator 1000 安裝核對清單
參數
值
SRA 安裝基底目錄
/opt
SRA 證書資料庫路徑
/etc/opt/SUNWps/cert/default
SRA 伺服器證書暱稱
server-cert
範圍
sra-keystore
範圍使用者
crypta
配置 Crypto Accelerator 1000
踊t若要配置 Crypto Accelerator 1000
- 請遵照使用者指南中的指示安裝硬體。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 請從光碟安裝下列套件。
SUNWcrypm°BSUNWcrypu°BSUNWcrysu°BSUNWdcar°BSUNWcrypr°BSUNWcrysl°BSUNWdcamn°BSUNWdcav
- 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)
110383-01, 108528-05, 112438-01
- 請確定您有 pk12util 和 modutil 兩項工具。
這些工具會安裝在 /usr/sfw/bin 目錄下。若在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Java Enterprise System 發行媒體中新增 SUNWtlsu 套裝軟體:
Solaris_[sparc/x86]/Product/shared_components/
- 建立插槽檔案:
vi /etc/opt/SUNWconn/crypto/slots
並將 "crypta@sra" 置於檔案中的首位且為唯一的行。
- 建立並設定範圍。
- 建立使用者:
- 以您建立的使用者登入。
secadm{root@sra}> login user=crypta
密碼:
secadm{crypta@sra}> show key
此使用者無可用的金鑰。
- 載入 Sun Crypto 模組。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
請利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 將閘道證書及金鑰匯出至 "Sun Crypto Module"。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"
現在請執行顯示金鑰指令:
secadm{crypta@sra}> show key
您應可看到此使用者的兩個金鑰。
- 變更 /etc/opt/SUNWps/cert/default/.nickname 檔案中的暱稱。
vi /etc/opt/SUNWps/cert/default/.nickname
以 crypta@sra:server-cert 取代 server-cert
- 啟用加速密碼。
請參閱啟用 SSL 加密選項。
SUN CA1000 會加速 RSA 的運行速度,但僅支援 DES 與 3DES 密碼加速。
- 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以啟用加速器:
gateway.enable.accelerator=true
- 從終端機視窗重新啟動閘道:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Sun Crypto Accelerator 4000Sun Crypto Accelerator 4000 板是一個以乙太網路為基礎的十億位元網路介面卡,支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。
除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外,其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。
Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。
啟用 Crypto Accelerator 4000
請確定已安裝 SRA,且亦已安裝閘道伺服器認證 (自簽或由任何 CA 所核發)。下列核對清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。
表 13-1 列出 Crypto Accelerator 4000 參數與值。
表 13-2 Crypto Accelerator 4000 安裝核對清單
參數
值
Secure Remote Access 安裝基底目錄
/opt
SRA 實例
default
SRA 證書資料庫路徑
/etc/opt/SUNWps/cert/default
SRA 伺服器證書暱稱
server-cert
CA4000 金鑰庫
srap
CA4000 金鑰庫使用者
crypta
配置 Crypto Accelerator 4000
踊t若要配置 Crypto Accelerator 4000
- 請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式):114795
- 請確定您有下列工具:certutil、Bpk12util 與 modutil。
這些工具會安裝在 /usr/sfw/bin 下
如果在 /usf/sfw/bin 目錄中找不到工具,您需要手動在 Java Enterprise System 發行媒體中新增 SUNWtlsu 套裝軟體:
Solaris_[sparc/x86]/Product/shared_components/
- 初始化此板。
執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。
初始安全官員姓名:sec_officer
金鑰庫名稱:sra-keystore
在 FIPS 140-2 模式下執行:No
- 建立使用者。
vcaadm{vca0@localhost, sec_officer}> create user
新使用者名稱:crypta
輸入新使用者密碼:
確認密碼:
已成功建立使用者 crypta。
- 將記號對映至金鑰庫。
vi /opt/SUNWconn/cryptov2/tokens
將 sra-keystore 附加至檔案。
- 啟用整批資料加密。
touch /opt/SUNWconn/cryptov2/sslreg
- 載入 Sun Crypto 模組。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 將閘道證書及金鑰匯出至 "Sun Crypto Module"。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"
您可利用下列指令確認是否已匯出此金鑰:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default
- 變更 /etc/opt/SUNWps/cert/default/.nickname 檔案中的暱稱:
vi /etc/opt/SUNWps/cert/default/.nickname
以 sra-keystore:server-cert 取代 server-cert
- 啟用加速密碼。
請參閱啟用 SSL 加密選項
- 從終端機視窗重新啟動閘道:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
閘道將提示您輸入金鑰庫密碼。
輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼
外部 SSL 裝置與代理伺服器加速器在開放模式下,外部 SSL 裝置可在 Sun Java System Portal Server Secure Remote Access (SRA) 之前執行。其提供用戶端與 SRA 之間的 SSL 連結。
啟用外部 SSL 裝置加速器
請確定已安裝 SRA,且已有閘道在安全模式 (HTTPS 模式)下執行:
閘道 >> 啟用 HTTPS 連線
閘道>> HTTP 連接埠:880
表 13-3 列出外部 SSL 裝置與代理伺服器加速器的參數與值。
配置外部 SSL 裝置加速器
踊t若要配置外部 SSL 裝置加速器
- 請遵照使用者指南中的指示安裝硬體與軟體套件。
- 請安裝必需安裝的修補程式 (若有的話)。
- 在 platform.conf 檔案中輸入值以啟用 SSL 裝置/代理伺服器支援:
vi /etc/opt/SUNWps/platform.conf.default
gateway.enable.accelerator=true
若外部裝置/代理伺服器主機名稱與閘道主機名稱不同:
gateway.enable.customurl=true
gateway.httpsurl=external-device.domain.subdomain/proxy-URL
- 有兩種方式可配置閘道通知:
- 請確定已開啟並執行 SSL 裝置/代理伺服器,且已配置為將通訊流量導向閘道連接埠。
- 從終端機視窗重新啟動閘道:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start