Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2 

第 13 章
配置 SSL 加速器

本章介绍如何为 Sun Java™ System Portal Server Secure Remote Access 配置各种加速器。

本章包括以下主题:


概述

外部加速器是专用的硬件协处理器,用于从服务器 CPU 卸载 SSL 功能,借此释放 CPU 空间以使其执行其他任务,同时提高对 SSL 事务的处理速度。


Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一块短 PCI 板,它可作为加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。

许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。

启用 Crypto Accelerator 1000

确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任一 CA 所签发)。有关详细信息,请参阅证书一章。

表 13-1 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息。它列出了 Crypto Accelerator 1000 的参数和相应值。

表 13-1 Crypto Accelerator 1000 安装清单

参数

SRA 安装基本目录

/opt

SRA 证书数据库路径

/etc/opt/SUNWps/cert/default

SRA 服务器证书昵称

server-cert

区域

sra-keystore

区域用户

crypta

配置 Crypto Accelerator 1000

    配置 Crypto Accelerator 1000
  1. 按照用户指南中的说明安装硬件。请参阅:
  2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  3. 从光盘安装以下软件包。
  4. SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  5. 安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
  6. 110383-01、108528-05、112438-01

  7. 确保您拥有 pk12utilmodutil 工具。
  8. 这些工具安装在 /usr/sfw/bin 目录下面。如果工具不位于 /usf/sfw/bin 目录中,则需要手动从 Sun Java System 分发媒体中添加 SUNWtlsu 数据包:Solaris_[sparc/x86]/Product/shared_components/

  9. 创建插槽文件:
  10. vi /etc/opt/SUNWconn/crypto/slots

    然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。

  11. 创建和设置区域。
    1. 以根用户身份登录。
    2. 键入以下命令:
    3. cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功创建区域 sra。

  12. 创建一个用户:
    1. 键入并回应以下命令:
    2. secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}>create user=crypta

      初始口令:

      确认口令:

      已成功创建用户 crypta。

  13. 以您创建的用户身份登录。
  14. secadm{root@sra}> login user=crypta

    口令:

    secadm{crypta@sra}> show key

    不存在此用户的密钥。

  15. 载入 Sun Crypto 模块。
  16. 环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    类型:

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    使用以下命令验证是否已载入此模块:

    modutil -list -dbdir /etc/opt/SUNWps/cert /default

  17. 将网关证书和密钥导出到“Sun Crypto 模块”中。
  18. 环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    类型:

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"

    现在,运行显示密钥命令:

    secadm{crypta@sra}> show key

    应该可以看到此用户的两个密钥。

  19. 更改 /etc/opt/SUNWps/cert/default/.nickname 文件中的昵称。
  20. vi /etc/opt/SUNWps/cert/default/.nickname

    crypta@sra:server-cert 替换 server-cert

  21. 启用加速密码。
  22. 请参阅启用 SSL 密码选择

    SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。

  23. 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以启用加速器:
  24. gateway.enable.accelerator=true

  25. 从终端窗口重新启动网关:
  26. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start


    注意

    网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。

    不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。

    PDC 在此模式下不起作用。



Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 板是一个基于以太网的千兆网卡,它支持 Sun 服务器上 IPsec 和 SSL(对称和不对称)的加密硬件加速。

除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。

Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。

启用 Crypto Accelerator 4000

确保已安装了 SRA,并安装了网关服务器证书(自签名或由任一 CA 所签发)。以下清单有助于您在安装“SSL 加速器”之前熟悉所需信息。

表 13-1 列出了 Crypto Accelerator 4000 的参数和相应值。

表 13-2 Crypto Accelerator 4000 安装清单

参数

Secure Remote Access 安装基本目录

/opt

SRA 实例

default

SRA 证书数据库路径

/etc/opt/SUNWps/cert/default

SRA 服务器证书昵称

server-cert

CA4000 keystore

srap

CA4000 keystore 用户

crypta

配置 Crypto Accelerator 4000

    配置 Crypto Accelerator 4000
  1. 按用户指南中的说明安装硬件和软件包。请参阅:
  2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  3. 安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
  4. 确保您拥有 certutil、pk12util modutil 工具。
  5. 这些工具安装在 /usr/sfw/bin 目录下面

    如果工具不位于 /usr/sfw/bin 目录中,则需要

    手动从 Sun Java System 分发媒体中添加 SUNWtlsu 数据包:

    Solaris_[sparc/x86]/Product/shared_components/

  6. 初始化该板。
  7. 运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板,并设置下列值。

    初始安全主管名:sec_officer

    Keystore 名称:sra-keystore

    以 FIPS 140-2 模式下运行:

  8. 创建一个用户。
  9. vcaadm{vca0@localhost, sec_officer}> create user

    新用户名:crypta

    输入新的用户口令:

    确认口令:

    已成功创建用户 crypta。

  10. 将令牌映射到 key store。
  11. vi /opt/SUNWconn/cryptov2/tokens

    然后,将 sra-keystore 追加到文件中。

  12. 启用整体加密。
  13. touch /opt/SUNWconn/cryptov2/sslreg

  14. 载入 Sun Crypto 模块。
  15. 环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    类型:

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    您可使用以下命令检验是否已载入此模块:

    modutil -list -dbdir /etc/opt/SUNWps/cert /default

  16. 将网关证书和密钥导出到“Sun Crypto 模块”中。
  17. 环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"

    您可使用以下命令检验是否已经导出密钥:

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default

  18. 更改 /etc/opt/SUNWps//cert/default/.nickname 文件中的昵称:
  19. vi /etc/opt/SUNWps/cert/default/.nickname

    sra-keystore:server-cert 替换 server-cert

  20. 启用加速密码。
  21. 请参阅启用 SSL 密码选择

  22. 从终端窗口重新启动网关:
  23. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    网关会提示您输入 keystore 口令。

    "sra-keystore":crypta:crytpa-password 输入口令或 Pin


    注意

    网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。

    不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。

    PDC 在此模式下不起作用。



外部 SSL 设备和代理加速器

外部 SSL 设备可在开放模式下于 Sun Java System Portal Server Secure Remote Access (SRA) 前端运行。它在客户机和 SRA 之间提供了 SSL 链接。

启用外部 SSL 设备加速器

确保已安装了 SRA,并且网关在安全模式下(HTTPS 模式)运行:

网关 >> 启用 HTTPS 连接

网关>> HTTP 端口:880

表 13-3 列出了 SSL 设备和代理加速器的参数及相应的值。

表 13-3 外部 SSL 设备和代理加速器清单

参数

SRA 实例

default

网关模式

https

网关端口

880

外部设备/代理端口

443

配置外部 SSL 设备加速器

    配置外部 SSL 设备加速器
  1. 按用户指南中的说明安装硬件和软件包。
  2. 安装必需的修补程序(如果有)。
  3. 通过在 platform.conf 文件中输入值,启用“SSL 设备/代理”支持:
  4. vi /etc/opt/SUNWps/platform.conf.default

    gateway.enable.accelerator=true

    如果外部设备/代理主机名与网关主机名不同:

    gateway.enable.customurl=true

    gateway.httpsurl=external-device.domain.subdomain/proxy-URL

  5. 可以两种方式配置网关通知:
    • 当 Identity Server 可在端口 880 连接网关计算机时(会话通知将为 http 形式),在 platform.conf 文件中输入值。

      vi /etc/opt/SUNWps/platform.conf.default

      gateway.protocol=http

      gateway.port=880

    • 当 Identity Server 可在端口 443 连接外部设备/代理时(会话通知将为 HTTPS 形式),在 platform.conf 文件中输入值。

      vi /etc/opt/SUNWps/platform.conf.default

      gateway.host=External Device/Proxy Host Name

      gateway.protocol=https

      gateway.port=443

  6. 确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
  7. 从终端窗口重新启动网关:
  8. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start



上一页      目录      索引      下一页     


版权所有 2004 Sun Microsystems, Inc. 保留所有权利。