test

Solaris のシステム管理 (ネットワークサービス)

ProcedureSSL カーネルプロキシを使用するように Sun Java System Web Server を設定する方法

Sun Java System Web Server 上で SSL パケット処理のパフォーマンスを改善するには、次の手順を使用してください。この Web サーバーについては、『Sun Java System Web Server 6.1 2005Q4 SP4 管理者ガイド』を参照してください。

始める前に

次の手順を使用するには、Sun Java System Web Server のインストールと設定が完了している必要があります。

  1. スーパーユーザーになるか、同等の役割を引き受けます。

    役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』「RBAC の構成 (作業マップ)」を参照してください。ksslcfg コマンドは、Network Security プロファイルに含まれています。

  2. Web サーバーを停止します。

    管理者の Web インタフェースを使ってサーバーを停止します。詳細は、『Sun Java System Web Server 6.1 2005Q4 SP4 管理者ガイド』の「サーバーの起動と停止」を参照してください。

  3. 暗号化フレームワークのメタスロットを無効にします。

    この手順は、カーネル SSL サービスのインスタンスが作成されるときに確実にメタスロットが無効になるようにするために必要です。


    # cryptoadm disable metaslot

  4. ksslcfg コマンドで使用するパラメータを決定します。

    オプションの完全な一覧については、ksslcfg(1M)情報を指定する必要のあるパラメータは、次のとおりです。

    • key-format-f オプションとともに使用し、証明書と鍵の形式を定義します。

    • token-label-T オプションとともに使用し、PKCS#11 トークンを指定します。

    • certificate-label-C オプションとともに使用し、PKCS#11 トークン内の証明書オブジェクトに含まれるラベルを選択します。

    • password-file-p オプションとともに使用し、Web サーバーが使用する PKCS#11 トークンにユーザーをログインさせるためのパスワードが含まれているファイルの場所を選択します。このパスワードは、自動再起動を実現するために使用されます。このファイルのアクセス権は、0400 にしてください。

    • proxy-port-x オプションとともに使用し、SSL プロキシポートを設定します。標準ポート 80 とは別のポートを選択します。Web サーバーは SSL プロキシポートを待機します。

    • ssl-port – SSL カーネルプロキシが待機するポートを定義します。この値は通常、443 に設定されます。

    注 –

    ssl-portproxy-port の値を NCA 用として設定することはできません。なぜなら、これらのポートは SSL カーネルプロキシ専用として使用されるからです。通常、ポート 80 が NCA 用として、ポート 8443 が proxy-port 用として、443 が ssl-port 用として、それぞれ使用されます。

  5. サービスインスタンスを作成します。

    ksslcfg コマンドで、SSL プロキシポートと関連パラメータを指定します。


    ksslcfg create -f key-format -T PKCS#11-token -C certificate-label -p password-file -x proxy-port ssl-port

  6. 暗号化フレームワークのメタスロットを有効にします。


    # cryptoadm enable metaslot

  7. インスタンスが正しく作成されたことを確認します。

    次のコマンドによって報告されるサービスの状態は「online」です。


    # svcs svc:/network/ssl/proxy

  8. SSL プロキシポート上で待機するように Web サーバーを設定します。

    詳細は、『Sun Java System Web Server 6.1 2005Q4 SP4 管理者ガイド』の「待機ソケットの追加と編集」を参照してください。

  9. Web サーバーを起動します。

例 2–4 SSL カーネルプロキシを使用するように Sun Java System Web Server を設定する

次のコマンドは、pkcs11 鍵形式を使ってインスタンスを作成します。


# ksslcfg create -f pkcs11 -T "Sun Software PKCS#11 softtoken" -C "Server-Cert" -p file -x 8443 443