如何配置 Sun Java System Web Server 以使用 SSL 内核代理

应使用此过程来改善 Sun Java System Web Server 上的 SSL 包进程的性能。有关此 Web 服务器的信息，请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。

开始之前

以下过程要求已安装并配置 Sun Java System Web Server。

1. 成为超级用户或承担等效角色。

   角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。�C有关如何使用主管理员配置文件配置角色，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。ksslcfg 命令包括在 Network Security 配置文件中。

2. 停止 Web 服务器。

   使用管理员 Web 界面停止服务器。有关更多信息，请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。

3. 确定要用于 ksslcfg 命令的参数。

   ksslcfg(1M) 手册页中列出了所有选项。必须了解的参数包括：

   • key_format－与 -f 选项一起定义证书和密钥格式。

   • token_label－与 -T 选项一起指定 PKCS#11 标记。

   • certificate_label－与 -C 选项一起选择 PKCS#11 标记的证书对象中的标签。

   • password_file－与 -p 选项一起选择文件的位置，该文件中应包括用于使用户登录到 Web 服务器所使用的 PKCS#11 标记的口令。此口令用来允许无人参与的重新引导。对该文件的权限应为 0400。

   • proxy_port－与 -x 选项一起设置 SSL 代理端口。请选择标准端口 80 之外的其他端口。

   • ssl_port－定义服务器应用程序的端口。此值在 server.xml 文件中设置。通常，将此值设置为 443。

   ---

   注 –

   不能为 NCA 配置 ssl_port 和 proxy_port 值，因为 SSL 内核代理以独占方式使用这些端口。通常，端口 80 用于 NCA，端口 8080 用于 proxy_port，端口 443 用于 ssl_port。

   ---

4. 创建服务实例。

   使用 ksslcfg 命令指定 SSL 代理端口和相关参数。

   ksslcfg create -f key_format -T PKCS#11_token -C certificate_label -p password_file -x proxy_port ssl_port

5. 验证是否已正确创建该实例。

   以下命令报告的服务状态应为“online”。

   # svcs svc:/network/ssl/proxy

6. 配置 Web 服务器以在 SSL 代理端口上侦听。

   有关更多信息，请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。

7. 启动 Web 服务器。

示例 2–4 配置 Sun Java System Web Server 以使用 SSL 内核代理

以下命令将使用 pkcs11 密钥格式创建一个实例。

# ksslcfg create -f pkcs11 -T "NSS Internal PKCS #11 Module" -C "Server-Cert" -p file -x 8080  443