test

Sun Java System Web Server 7.0 Update 3 관리자 설명서

Solaris 암호화 프레임워크 구성

이 절에서는 Web Server와 같이 사용하도록 Solaris 암호화를 구성하는 방법에 대해 설명합니다.

ProcedureSolaris 암호화를 구성하는 방법

  1. ./sunw 디렉토리를 다음 명령을 사용하여 시스템에서 제거합니다.

    %rm -rf $HOME/.sunw

  2. 다음 명령을 사용하여 새 핀을 설정합니다.

    % pktool setpin 새 핀 입력:<여기에 핀 입력>

    새 핀 다시 입력:<여기에 핀 다시 입력>

  3. 다음 명령을 사용하여 pkcs11_kernel.sopkcs11_softtoken.so 파일의 메커니즘을 비활성화합니다.

    #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_kernel.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

    #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_softtoken.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

    주 –

    pkcs11_softtoken_extra.so 파일을 사용하는 경우 이 파일의 메커니즘을 비활성화해야 합니다.

ProcedurePKCS#11 라이브러리 파일을 등록하는 방법

  1. 다음 명령을 입력하여 Solaris 암호화 프레임워크를 구성 디렉토리의 네트워크 보안 서비스(network security services, NSS)에 추가합니다.

    $ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -add "scf" -libfile /usr/lib/libpkcs11.so -mechanisms RSA

  2. 다음 명령을 사용하여 등록 여부를 확인합니다.

    $ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -list 

    Listing of PKCS #11 Modules
1. NSS Internal PKCS #11 Module
     slots: 2 slots attached
         status: loaded

          slot: NSS Internal Cryptographic Services
         token: NSS Generic Crypto Services

          slot: NSS User Private Key and Certificate Services
         token: NSS Certificate DB

   2. scf
         library name: /usr/lib/libpkcs11.so
          slots: 1 slot attached
         status: loaded

          slot: Sun Crypto Softtoken
         token: Sun Software PKCS#11 softtoken

   3. Root Certs
         library name: libnssckbi.so
          slots: There are no slots attached to this module
         status: Not loaded

    서버 인증서 만들기에 대한 자세한 내용은 인증서 요청을 참조하십시오.

    NSS 데이터베이스에 인증서가 있을 경우 다음 pk12util 명령을 사용하여 인증서를 내보내거나 가져올 수 있습니다.

    $pk12util -o server.pk12 -d . -n <server-cert>

    $pk12util -i server.pk12 -d . -h "Sun Software PKCS#11 softtoken"

    주 –

    기본적으로 certutil/pk12utilcert8.dbkey3.db의 데이터베이스를 검색합니다. https-instance-hostname-cert8.db https-instance-hostname-key3.db 등의 대체 이름을 사용하는 Web Server에 대한 접두어로 -P를 추가합니다.

ProcedurePKCS#11 토큰을 활성화 및 무시하는 방법

  1. 홈 페이지에서 구성 탭을 누릅니다.

  2. 구성 페이지에서 PKCS#11 및 무시 허용 옵션을 활성화할 구성을 누릅니다.

  3. 인증서 탭을 누릅니다.

  4. PKCS#11 토큰 하위 탭을 누릅니다.

  5. 일반 설정에서 확인란을 선택하여 PKCS#11 및 무시 허용을 활성화합니다.

  6. 저장 버튼을 누릅니다.

    CLI 참조 set-pkcs11-prop(1)를 참조하십시오.

CLI를 사용하여 자체 서명된 인증서 만들기 및 SSL 활성화

설치 디렉토리에서 wadm을 시작하고 다음 단계를 수행합니다.

$wadm --user=admin
Please enter admin-user-password>enter the administration serverpassword

$wadm>list-tokens --config=test.sun.com

internal
Sun Software PKCS#11 softtoken

$wadm>create-selfsigned-cert --config=test.sun.com --server-name=test.sun.com --nickname=MyCert 
--token="Sun Software PKCS#11 softtoken"
Please enter token-pin>enter the password

CLI201 Command 'create-selfsigned-cert' ran successfully

$wadm>set-ssl-prop --config=test.sun.com --http-listener=http-listener-1 enabled=true 
server-cert-nickname="Sun Software PKCS#11 softtoken:MyCert"
CLI201 Command 'set-ssl-prop' ran successfully

$wadm>deploy-config test.sun.com
CLI201 Command 'deploy-config' ran success

이제 Administration Server를 시작합니다.

$ cd <install-dir>/<instance-dir>/bin/startserv
Sun Java System Web Server 7.0 Update 3

Please enter the PIN for the "Sun Software PKCS#11 softtoken" token:enter the password
info: HTTP3072: http-listener-1: https://test.sun.com:2222 ready to accept requests
info: CORE3274: successful server startup