이 절에서는 Web Server와 같이 사용하도록 Solaris 암호화를 구성하는 방법에 대해 설명합니다.
./sunw 디렉토리를 다음 명령을 사용하여 시스템에서 제거합니다.
%rm -rf $HOME/.sunw
다음 명령을 사용하여 새 핀을 설정합니다.
% pktool setpin 새 핀 입력:<여기에 핀 입력>
새 핀 다시 입력:<여기에 핀 다시 입력>
다음 명령을 사용하여 pkcs11_kernel.so 및 pkcs11_softtoken.so 파일의 메커니즘을 비활성화합니다.
#cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_kernel.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC
#cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_softtoken.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC
pkcs11_softtoken_extra.so 파일을 사용하는 경우 이 파일의 메커니즘을 비활성화해야 합니다.
다음 명령을 입력하여 Solaris 암호화 프레임워크를 구성 디렉토리의 네트워크 보안 서비스(network security services, NSS)에 추가합니다.
$ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -add "scf" -libfile /usr/lib/libpkcs11.so -mechanisms RSA
다음 명령을 사용하여 등록 여부를 확인합니다.
$ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -list
Listing of PKCS #11 Modules 1. NSS Internal PKCS #11 Module slots: 2 slots attached status: loaded slot: NSS Internal Cryptographic Services token: NSS Generic Crypto Services slot: NSS User Private Key and Certificate Services token: NSS Certificate DB 2. scf library name: /usr/lib/libpkcs11.so slots: 1 slot attached status: loaded slot: Sun Crypto Softtoken token: Sun Software PKCS#11 softtoken 3. Root Certs library name: libnssckbi.so slots: There are no slots attached to this module status: Not loaded
서버 인증서 만들기에 대한 자세한 내용은 인증서 요청을 참조하십시오.
NSS 데이터베이스에 인증서가 있을 경우 다음 pk12util 명령을 사용하여 인증서를 내보내거나 가져올 수 있습니다.
$pk12util -o server.pk12 -d . -n <server-cert>
$pk12util -i server.pk12 -d . -h "Sun Software PKCS#11 softtoken"
기본적으로 certutil/pk12util은 cert8.db 및 key3.db의 데이터베이스를 검색합니다. https-instance-hostname-cert8.db 및 https-instance-hostname-key3.db 등의 대체 이름을 사용하는 Web Server에 대한 접두어로 -P를 추가합니다.
홈 페이지에서 구성 탭을 누릅니다.
구성 페이지에서 PKCS#11 및 무시 허용 옵션을 활성화할 구성을 누릅니다.
인증서 탭을 누릅니다.
PKCS#11 토큰 하위 탭을 누릅니다.
일반 설정에서 확인란을 선택하여 PKCS#11 및 무시 허용을 활성화합니다.
저장 버튼을 누릅니다.
CLI 참조 set-pkcs11-prop(1)를 참조하십시오.
설치 디렉토리에서 wadm을 시작하고 다음 단계를 수행합니다.
$wadm --user=admin Please enter admin-user-password>enter the administration serverpassword $wadm>list-tokens --config=test.sun.com internal Sun Software PKCS#11 softtoken $wadm>create-selfsigned-cert --config=test.sun.com --server-name=test.sun.com --nickname=MyCert --token="Sun Software PKCS#11 softtoken" Please enter token-pin>enter the password CLI201 Command 'create-selfsigned-cert' ran successfully $wadm>set-ssl-prop --config=test.sun.com --http-listener=http-listener-1 enabled=true server-cert-nickname="Sun Software PKCS#11 softtoken:MyCert" CLI201 Command 'set-ssl-prop' ran successfully $wadm>deploy-config test.sun.com CLI201 Command 'deploy-config' ran success
이제 Administration Server를 시작합니다.
$ cd <install-dir>/<instance-dir>/bin/startserv Sun Java System Web Server 7.0 Update 3 Please enter the PIN for the "Sun Software PKCS#11 softtoken" token:enter the password info: HTTP3072: http-listener-1: https://test.sun.com:2222 ready to accept requests info: CORE3274: successful server startup