|
| |
| Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 | |
第 13 章
配置 SSL 加速器本章介绍如何为 Sun Java™ System Portal Server Secure Remote Access 配置各种加速器。
本章包括以下主题:
概述外部加速器是专用的硬件协处理器,用于从服务器 CPU 卸载 SSL 功能,借此释放 CPU 空间以使其执行其他任务,同时提高对 SSL 事务的处理速度。
Sun Crypto Accelerator 1000Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一块短 PCI 板,它可作为加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。
许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。
启用 Crypto Accelerator 1000
确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任一 CA 所签发)。有关详细信息,请参阅证书一章。
表 13-1 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息。它列出了 Crypto Accelerator 1000 的参数和相应值。
表 13-1 Crypto Accelerator 1000 安装清单
参数
值
SRA 安装基本目录
/opt
SRA 证书数据库路径
/etc/opt/SUNWps/cert/default
SRA 服务器证书昵称
server-cert
区域
sra-keystore
区域用户
crypta
配置 Crypto Accelerator 1000
配置 Crypto Accelerator 1000
- 按照用户指南中的说明安装硬件。请参阅:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
- 安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
110383-01、108528-05、112438-01
- 确保您拥有 pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 目录下面。如果工具不位于 /usf/sfw/bin 目录中,则需要手动从 Sun Java System 分发媒体中添加 SUNWtlsu 数据包:Solaris_[sparc/x86]/Product/shared_components/
- 创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
- 创建和设置区域。
- 创建一个用户:
- 以您创建的用户身份登录。
secadm{root@sra}> login user=crypta
口令:
secadm{crypta@sra}> show key
不存在此用户的密钥。
- 载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
类型:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
类型:
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
- 更改 /etc/opt/SUNWps/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUNWps/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
- 启用加速密码。
请参阅启用 SSL 密码选择
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。
- 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以启用加速器:
gateway.enable.accelerator=true
- 从终端窗口重新启动网关:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Sun Crypto Accelerator 4000Sun™ Crypto Accelerator 4000 板是一个基于以太网的千兆网卡,它支持 Sun 服务器上 IPsec 和 SSL(对称和不对称)的加密硬件加速。
除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。
Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。
启用 Crypto Accelerator 4000
确保已安装了 SRA,并安装了网关服务器证书(自签名或由任一 CA 所签发)。以下清单有助于您在安装“SSL 加速器”之前熟悉所需信息。
表 13-1 列出了 Crypto Accelerator 4000 的参数和相应值。
配置 Crypto Accelerator 4000
配置 Crypto Accelerator 4000
- 按用户指南中的说明安装硬件和软件包。请参阅:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
- 确保您拥有 certutil、pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 目录下面
如果工具不位于 /usr/sfw/bin 目录中,则需要
手动从 Sun Java System 分发媒体中添加 SUNWtlsu 数据包:
Solaris_[sparc/x86]/Product/shared_components/- 初始化该板。
运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板,并设置下列值。
初始安全主管名:sec_officer
Keystore 名称:sra-keystore
以 FIPS 140-2 模式下运行:否
- 创建一个用户。
vcaadm{vca0@localhost, sec_officer}> create user
新用户名:crypta
输入新的用户口令:
确认口令:
已成功创建用户 crypta。
- 将令牌映射到 key store。
vi /opt/SUNWconn/cryptov2/tokens
然后,将 sra-keystore 追加到文件中。
- 启用整体加密。
touch /opt/SUNWconn/cryptov2/sslreg
- 载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
类型:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可使用以下命令检验是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"
您可使用以下命令检验是否已经导出密钥:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default
- 更改 /etc/opt/SUNWps//cert/default/.nickname 文件中的昵称:
vi /etc/opt/SUNWps/cert/default/.nickname
用 sra-keystore:server-cert 替换 server-cert
- 启用加速密码。
请参阅启用 SSL 密码选择
- 从终端窗口重新启动网关:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
网关会提示您输入 keystore 口令。
为 "sra-keystore":crypta:crytpa-password 输入口令或 Pin
外部 SSL 设备和代理加速器外部 SSL 设备可在开放模式下于 Sun Java System Portal Server Secure Remote Access (SRA) 前端运行。它在客户机和 SRA 之间提供了 SSL 链接。
启用外部 SSL 设备加速器
确保已安装了 SRA,并且网关在安全模式下(HTTPS 模式)运行:
网关 >> 启用 HTTPS 连接
网关>> HTTP 端口:880
表 13-3 列出了 SSL 设备和代理加速器的参数及相应的值。
配置外部 SSL 设备加速器
配置外部 SSL 设备加速器
- 按用户指南中的说明安装硬件和软件包。
- 安装必需的修补程序(如果有)。
- 通过在 platform.conf 文件中输入值,启用“SSL 设备/代理”支持:
vi /etc/opt/SUNWps/platform.conf.default
gateway.enable.accelerator=true
如果外部设备/代理主机名与网关主机名不同:
gateway.enable.customurl=true
gateway.httpsurl=external-device.domain.subdomain/proxy-URL
- 可以两种方式配置网关通知:
- 确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
- 从终端窗口重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start