Sun Java System Web Proxy Server 4.0.4 管理指南

使用外部加密模組

Proxy Server 支援下列使用外部加密模組的方法,如智慧卡或記號環網路:

啟動 FIPS-140 加密標準之前,必須增加 PKCS #11 模組。

本小節包含下列主題:

安裝 PKCS #11 模組

Proxy Server 支援公開金鑰加密標準 (PKCS) #11,該標準定義在 SSL 和 PKCS #11 模組之間通訊所使用的介面。PKCS #11 模組用於與 SSL 硬體加速器建立標準連結。所匯入的外部硬體加速器之憑證和金鑰儲存在 secmod.db 檔案中,此檔案是在安裝 PKCS #11 模組時產生的。此檔案位於 server-root/alias 目錄中。

使用 modutil 工具安裝 PKCS #11 模組

您可以使用 modutil 工具,以 .jar 檔案或物件檔案的形式安裝 PKCS #11 模組。

Procedure使用 modutil 工具安裝 PKCS #11 模組

  1. 確定包括 Administration Server 在內的所有伺服器都已停止。

  2. 移至包含資料庫的 server-root/alias 目錄。

  3. server-root/bin/proxy/admin/bin 增加到 PATH 中。

  4. server-root/bin/proxy/admin/bin 中找到 modutil

  5. 設定環境。

    • 在 UNIX 上:setenv

      LD_LIBRARY_PATH server-root/bin/proxy/lib:${LD_LIBRARY_PATH}

    • 在 Windows 上,將以下內容增加到 PATH

      LD_LIBRARY_PATH server-root/bin/proxy/bin

      您可以在 server-root/proxy-admserv/start 下找到電腦的 PATH。

  6. 在終端機視窗中,鍵入 modutil

    將列出各種選項。

  7. 執行所需的動作。

    例如,若要在 UNIX 中增加 PKCS #11 模組,請輸入:

    modutil -add (PKCS#11 檔案的名稱) -libfile (PKCS #11 的 libfile) -nocertdb -dbdir . (您的 db 目錄)

使用 pk12util 工具匯出

使用 pk12util 可讓您從內部資料庫匯出憑證和金鑰,並將其匯入內部或外部 PKCS #11 模組。您可以將憑證和金鑰始終匯出至內部資料庫,但多數外部記號不會允許\您匯出憑證和金鑰。依預設,pk12util 使用名為 cert8.dbkey3.db 的憑證和金鑰資料庫。

Procedure從內部資料庫匯出憑證和金鑰

  1. 移至包含資料庫的 server-root/alias 目錄。

  2. server-root/bin/proxy/admin/bin 增加到您的 PATH。

  3. server-root/bin/proxy/admin/bin 中找到 pk12util

  4. 設定環境。

    • 在 UNIX 上:

      setenv LD_LIBRARY_PATH/ server-root/bin/proxy/lib:${LD_LIBRARY_PATH}

    • 在 Windows 上,將以下內容增加到 PATH

      LD_LIBRARY_PATH server-root/bin/proxy/bin

      您可以在下列目錄下找到電腦的 PATH: server-root/proxy-admserv/start

  5. 在終端機視窗中,鍵入 pk12util

    將列出各種選項。

  6. 執行所需的動作。

    例如,在 UNIX 中鍵入

    pk12util -o certpk12 -n Server-Cert [-d /server/alias] [-P https-test-host]

  7. 鍵入資料庫密碼。

  8. 鍵入 pkcs12 密碼。

Procedure將憑證和金鑰匯入內部或外部 PKCS #11 模組

  1. 移至包含資料庫的 server-root/alias 目錄。

  2. server-root/bin/proxy/admin/bin 增加到您的 PATH。

  3. server-root/bin/proxy/admin/bin 中找到 pk12util

  4. 設定環境。

    例如︰

    • 在 UNIX 上:

      setenv LD_LIBRARY_PATH/ server-root/bin/proxy/lib:${LD_LIBRARY_PATH}

      • 在 Windows 上,將以下內容增加到 PATH

        LD_LIBRARY_PATH server-root/bin/proxy/bin

        您可以在 server-root/proxy-admserv/start 下找到電腦的 PATH。

  5. 在終端機視窗中,鍵入 pk12util

    將列出各種選項。

  6. 執行所需的動作。

    例如,在 UNIX 中輸入:

    pk12util -i pk12_sunspot [-d certdir][-h “nCipher”][-P https-jones.redplanet.com-jones-]

    -P 必須跟在 -h 之後,且為最後一個引數。

    鍵入正確的記號名稱,包括大寫字母和引號之間的空格。

  7. 鍵入資料庫密碼。

  8. 鍵入 pkcs12 密碼。

使用外部憑證啟動伺服器

如果伺服器憑證安裝至外部 PKCS #11 模組 (例如硬體加速器) 中,將無法使用該憑證來啟動伺服器,除非編輯 server.xml 檔案,或是依下述方式指定憑證名稱。

伺服器會自動嘗試使用名為 Server-Cert 的憑證進行啟動。然而,外部 PKCS #11 模組中的憑證,會在其識別碼中包括模組的其中一個記號名稱。例如,安裝於外部智慧卡讀取器上名為 smartcard0 的伺服器憑證,就會命名為 smartcard0:Server-Cert

若要使用安裝在外部模組中的憑證啟動伺服器,必須為伺服器執行所在的偵聽通訊端指定憑證名稱。

Procedure選取偵聽通訊端的憑證名稱

如果未啟用偵聽通訊端的安全性,則不會列出憑證資訊。若要選取偵聽通訊端的憑證名稱,必須先確定已在該偵聽通訊端上啟用安全性。如需更多資訊,請參閱為偵聽通訊端啟用安全性

  1. 存取 [Administration Server] 或 [Server Manager],然後按一下 [Preferences] 標籤。

  2. 按一下 [Edit Listen Sockets] 連結。

  3. 按一下要與憑證建立關聯的偵聽通訊端連結。

  4. 從 [Server Certificate Name] 下拉式清單中,選取偵聽通訊端的伺服器憑證,然後按一下 [OK]。

    該清單包含所有已安裝的內部和外部憑證。

    您也可以藉由手動編輯 server.xml 檔案,要求伺服器改使用該伺服器憑證啟動。 將 SSLPARAMS 中的 servercertnickname 屬性變更為:

    $TOKENNAME:Server-Cert

    若要尋找 $TOKENNAME 應使用的值,請移至伺服器的 [Security] 標籤,並選取 [Manage Certificates] 連結。登入到儲存 Server-Cert 的外部模組時,$TOKENNAME:$NICKNAME 表單的清單中將顯示其憑證。

    如果未建立信任資料庫,則在請求或安裝外部 PKCS #11 模組的憑證時,會自動建立一個。建立的預設資料庫沒有密碼,且無法存取。外部模組可以工作,但您不能申請和安裝伺服器憑證。如果已建立沒有密碼的預設資料庫,請使用 [Security] 標籤上的 [Create Database] 頁面來設定密碼。

FIPS-140 標準

透過 PKCS#11 API,您可以與執行加密作業的軟體或硬體模組進行通訊。一旦將 PKCS #11 安裝在 Proxy Server 上之後,即可將伺服器配置為遵守 FIPS-140 標準。FIPS 代表聯邦資訊處理標準。只有 SSL 3.0 才包含這些程式庫。

Procedure啟用 FIPS-140

  1. 依據 FIPS-140 中的說明安裝該 Plug-in。

  2. 存取 [Administration Server] 或 [Server Manager],然後按一下 [Preferences] 標籤。

  3. 按一下 [Edit Listen Sockets] 連結。

    對於安全偵聽通訊端,[Edit Listen Sockets] 頁面會顯示可用的安全性設定。

    若要使用 FIPS-140,請確定已在選取的偵聽套接字上啟用了該安全性。如需更多資訊,請參閱為偵聽通訊端啟用安全性

  4. 從 [SSL Version 3] 下拉式清單中選取 [Enabled] (如果尚未選取)。

  5. 選取適當的 FIPS-140 密碼組,然後按一下 [OK]:

    • 啟用168 位元加密的三重 DES 和 SHA 認證 (FIPS)

      • 啟用 56 位元加密的 DES 和 SHA 認證 (FIPS)。