应使用此过程来改善 Sun Java System Web Server 上的 SSL 包进程的性能。有关此 Web 服务器的信息,请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。
以下过程要求已安装并配置 Sun Java System Web Server。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。�C有关如何使用主管理员配置文件配置角色,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。ksslcfg 命令包括在 Network Security 配置文件中。
停止 Web 服务器。
使用管理员 Web 界面停止服务器。有关更多信息,请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。
确定要用于 ksslcfg 命令的参数。
ksslcfg(1M) 手册页中列出了所有选项。必须了解的参数包括:
key_format-与 -f 选项一起定义证书和密钥格式。
token_label-与 -T 选项一起指定 PKCS#11 标记。
certificate_label-与 -C 选项一起选择 PKCS#11 标记的证书对象中的标签。
password_file-与 -p 选项一起选择文件的位置,该文件中应包括用于使用户登录到 Web 服务器所使用的 PKCS#11 标记的口令。此口令用来允许无人参与的重新引导。对该文件的权限应为 0400。
proxy_port-与 -x 选项一起设置 SSL 代理端口。请选择标准端口 80 之外的其他端口。
ssl_port-定义服务器应用程序的端口。此值在 server.xml 文件中设置。通常,将此值设置为 443。
不能为 NCA 配置 ssl_port 和 proxy_port 值,因为 SSL 内核代理以独占方式使用这些端口。通常,端口 80 用于 NCA,端口 8080 用于 proxy_port,端口 443 用于 ssl_port。
创建服务实例。
使用 ksslcfg 命令指定 SSL 代理端口和相关参数。
ksslcfg create -f key_format -T PKCS#11_token -C certificate_label -p password_file -x proxy_port ssl_port |
验证是否已正确创建该实例。
以下命令报告的服务状态应为“online”。
# svcs svc:/network/ssl/proxy |
配置 Web 服务器以在 SSL 代理端口上侦听。
有关更多信息,请参见《Sun Java System Web Server 6.1 SP4 Administrator’s Guide》。
启动 Web 服务器。
以下命令将使用 pkcs11 密钥格式创建一个实例。
# ksslcfg create -f pkcs11 -T "NSS Internal PKCS #11 Module" -C "Server-Cert" -p file -x 8080 443 |