Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Portal Server Secure Remote Access 6 2005Q4 管理ガイド 

第 13 章
SSL アクセラレータの設定

この章では、Sun JavaTM System Portal Server Secure Remote Access の各種アクセラレータを設定する方法について説明します。

この章で説明する内容は次のとおりです。

概要

外部アクセラレータは、SSL 機能をサーバーの CPU からオフロードする専用のハードウェアコプロセッサです。これを使用することで、CPU は別のタスクを実行できるようになるので、SSL トランザクションの処理速度が向上します。

Sun Crypto Accelerator 1000

SunTM Crypto Accelerator 1000 (Sun CA1000) ボードは、公開鍵と対称暗号化を実行する暗号化コプロセッサとして機能するショート PCI ボードです。この製品には外部インタフェースがありません。ボードは、内部 PCI バスインタフェースを通じてホストと対話します。このボードの目的は、電子商取引アプリケーションのセキュリティープロトコルのために、計算を中心とするさまざまな暗号化アルゴリズムを高速化することです。

RSA [7] や Triple-DES (3DES) [8] など、多くの重要暗号化機能がアプリケーションから Sun CA1000 にオフロードされ、並行処理されます。これにより、CPU を他のタスクに振り分けられるようになり、SSL トランザクションの処理速度が向上します。

Sun Crypto Accelerator 1000 の有効化

Portal Server Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。詳細については、第 7 章「証明書」を参照してください。

表 13-1 は、SSL アクセラレータをインストールする前に、必要な情報を確認するためのチェックリストです。このリストには、Crypto Accelerator 1000 のパラメータと値が示されています。

表 13-1 Crypto Accelerator 1000 のインストールチェックリスト

パラメータ

SRA インストールのベースディレクトリ

/opt

SRA の証明書データベースへのパス

/etc/opt/SUNWps/cert/default

SRA サーバー証明書のニックネーム

server-cert

レルム

sra-keystore

レルムユーザー

crypta

Sun Crypto Accelerator 1000 の設定

Sun Crypto Accelerator 1000 を設定するには
  1. ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。

    2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. CD から次のパッケージをインストールします。

    3. SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. http://sunsolve.sun.com から入手できる次のパッチをインストールします。

    4. 110383-01, 108528-05, 112438-01

  4. pk12util および modutil というツールがインストールされていることを確認します。

    5. これらのツールは /usr/sfw/bin の下にインストールされます。ツールが /usf/sfw/bin ディレクトリにない場合は、Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。

    Solaris_[sparc/x86]/Product/shared_components/

  5. スロットファイルを作成します。

    6. vi /etc/opt/SUNWconn/crypto/slots

    このファイルの唯一の行として、「crypta@sra」を入力します。

  6. レルムを作成し、設定します。
    1. root としてログインします。
    2. 次のコマンドを入力します。

      3. cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      Realm sra created successfully.

  7. ユーザーを作成します。
    1. 次のコマンドを入力し、問い合わせに応答します。

      2. secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}>create user=crypta

      Initial password:

      Confirm password:

      User crypta created successfully.

  8. 作成したユーザーとしてログインします。

    9. secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    No keys exist for this user.

  9. Sun Crypto モジュールをロードします。

    10. 環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    次のコマンドを実行して、このモジュールがロードされたことを確認します。

    modutil -list -dbdir /etc/opt/SUNWps/cert/default

  10. 次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。

    11. 環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"

    次に、show key コマンドを実行します。

    secadm{crypta@sra}> show key

    このユーザーの 2 つの鍵が表示されます。

  11. /etc/opt/SUNWps/cert/default/.nickname ファイルでニックネームを変更します。

    12. vi /etc/opt/SUNWps/cert/default/.nickname

    server-certcrypta@sra:server-cert に置き換えます。

  12. 高速化する暗号化方式を有効化します。

    13. Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。

  13. /etc/opt/SUNWps/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。

    14. gateway.enable.accelerator=true

  14. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。

    15. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。

    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。

    このモードでは、PDC は機能しません。

Sun Crypto Accelerator 4000

SunTM Crypto Accelerator 4000 ボードは、ギガビット Ethernet ベースのネットワークインタフェースカードで、Sun サーバーでの IPsec および SSL (どちらも対称および非対称) の暗号化ハードウェアアクセラレーションをサポートします。

暗号化されていないネットワークトラフィックの標準ギガビットイーサネットネットワークインタフェースカードとして機能するほかに、このボードには、暗号化された IPsec トラフィックのスループット向上をサポートする暗号化ハードウェアも含まれます。

Crypto Accelerator 4000 ボードは、ハードウェアとソフトウェアの両方の暗号化アルゴリズムをアクセラレートします。また、DES および 3DES 暗号化方式の一括暗号化もサポートします。

Sun Crypto Accelerator 4000 の有効化

SRA がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。SSL アクセラレータをインストールする前に、次のチェックリストに基づいて必要な情報を入手してください。

表 13-1 は、Crypto Accelerator 4000 のパラメータと値を示しています。

表 13-2 Crypto Accelerator 4000 のインストールチェックリスト

パラメータ

Portal Server Secure Remote Access インストールのベースディレクトリ

/opt

SRA インスタンス

デフォルト

SRA の証明書データベースへのパス

/etc/opt/SUNWps/cert/default

SRA サーバー証明書のニックネーム

server-cert

CA4000 キーストア

srap

CA4000 キーストアユーザー

crypta

Sun Crypto Accelerator 4000 の設定

Sun Crypto Accelerator 4000 を設定するには
  1. ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。次の情報を参照してください。

    2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. http://sunsolve.sun.com から入手できる次のパッチをインストールします: 114795
  3. certutil、pk12util および modutil というツールがインストールされていることを確認します。

    4. これらのツールは /usr/sfw/bin の下にインストールされます。

    ツールが /usf/sfw/bin ディレクトリにない場合は、

    Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。

    Solaris_[sparc/x86]/Product/shared_components/

  4. ボードを初期化します。

    5. /opt/SUNWconn/bin/vcadm ツールを実行して Crypto ボードを初期化し、次の値を設定します。

    Initial Security Officer Name: sec_officer

    Keystore name: sra-keystore

    Run in FIPS 140-2 Mode: No

  5. ユーザーを作成します。

    6. vcaadm{vca0@localhost, sec_officer}> create user

    New user name: crypta

    Enter new user password:

    Confirm password:

    User crypta created successfully.

  6. キーストアにトークンをマッピングします。

    7. vi /opt/SUNWconn/cryptov2/tokens

    次に、このファイルに sra-keystore を追加します。

  7. 一括暗号化を有効にします。

    8. touch /opt/SUNWconn/cryptov2/sslreg

  8. Sun Crypto モジュールをロードします。

    9. 環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    次のコマンドを実行することで、このモジュールがロードされたことを確認できます。

    modutil -list -dbdir /etc/opt/SUNWps/cert/default

  9. 次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。

    10. 環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"

    次のコマンドを実行することで、鍵がエクスポートされたことを確認できます。

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default

  10. /etc/opt/SUNWps/cert/default/.nickname ファイルでニックネームを変更します。

    11. vi /etc/opt/SUNWps/cert/default/.nickname

    server-certsra-keystore:server-cert に置き換えます。

  11. 高速化する暗号化方式を有効化します。

    12. 「SSL 暗号化方式の選択の有効化」を参照してください。

  12. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。

    13. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    ゲートウェイは、キーストアのパスワードを要求します。

    "sra-keystore":crypta:crytpa-password のパスワードまたは Pin を入力します。

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。

    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。

    このモードでは、PDC は機能しません。

外部 SSL デバイスとプロキシアクセラレータ

オープンモードの Secure Remote Access (SRA) の前段で外部 SSL デバイスを実行できます。これは、クライアントと SRA の間に SSL リンクを提供します。

外部 SSL デバイスアクセラレータの有効化

外部 SSL デバイスアクセラレータの有効化
  1. SRA がインストールされ、ゲートウェイがオープンモード (HTTP モード) で稼動していることを確認します。
  2. HTTP 接続を有効にします。「HTTP 基本認証の有効化」を参照してください。

表 13-3 は、外部 SSL デバイスとプロキシアクセラレータのパラメータと値を示しています。

表 13-3 外部 SSL デバイスとプロキシアクセラレータのチェックリスト

パラメータ

SRA インスタンス

デフォルト

ゲートウェイのモード

http

ゲートウェイのポート

880

外部デバイス/プロキシのポート

443

外部 SSL デバイスアクセラレータの設定

外部 SSL デバイスアクセラレータを設定するには
  1. ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。
  2. 必須のパッチがあれば、それをインストールします。
  3. HTTP を使用するために、ゲートウェイインスタンスを設定します。
  4. platform.conf ファイルに次の値を入力します。

    5. gateway.enable.customurl=true

    gateway.enable.accelerator=true

    gateway.httpurl=https://external-device-URL:port-number

  5. ゲートウェイ通知は、次の 2 つの方法で設定できます。
    • Access Manager がポート 880 でゲートウェイマシンにアクセスできる場合 (セッション通知の形式は HTTP) は、platform.conf ファイルに次の値を入力します。

      • vi /etc/opt/SUNWps/platform.conf.default

      gateway.protocol=http

      gateway.port=880

    • Access Manager がポート 443 で外部デバイス/プロキシにアクセスできる場合 (セッション通知の形式は HTTPS) は、platform.conf ファイルに次の値を入力します。

      • vi /etc/opt/SUNWps/platform.conf.default

      gateway.host=External Device/Proxy Host Name

      gateway.protocol=https

      gateway.port=443

  6. SSL デバイス、プロキシが稼動し、トラフィックがゲートウェイポートにトンネルされるように設定されたことを確認します。
  7. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。

    8. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start



前へ      目次      索引      次へ     

Part No: 819-4614.   Copyright 2005 Sun Microsystems, Inc. All rights reserved.