Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun Java System Portal Server Secure Remote Access 6 2005Q1 管理指南 

第 13 章
配置 SSL 加速器

本章說明如何配置 Sun Java™ System Portal Server Secure Remote Access 的各種加速器。

本章涵蓋下列主題:

摘要

外部加速器為專用的輔助處理器,可完全卸載伺服器中央處理器的 SSL 運算資源,從而釋出中央處理器以執行其他工作,並提高 SSL 事務處理的處理速度。

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,其作用是做為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。

許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務的處理速度。

啟用 Crypto Accelerator 1000

請確定已安裝 Portal Server Secure Remote Access,且亦已安裝閘道伺服器認證 (自簽或由任何 CA 所核發)。有關詳細資料,請參閱第 7 章「憑證」

表 13-1 是一份檢核清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊。SSL Accelerator 列出了 Crypto Accelerator 1000 參數與值。

表 13-1  Crypto Accelerator 1000 安裝檢核清單

參數

SRA 安裝基底目錄

/opt

SRA 憑證資料庫路徑

/etc/opt/SUNWps/cert/default

SRA 伺服器憑證暱稱

server-cert

範圍

sra-keystore

範圍使用者

crypta

配置 Crypto Accelerator 1000

    若要配置 Crypto Accelerator 1000
  1. 請遵照使用者指南中的指示安裝硬體。請參閱:

    2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 請從光碟安裝下列套件。

    3. SUNWcrypm, SUNWcrypu, SUNWcrysu, SUNWdcar, SUNWcrypr, SUNWcrysl, SUNWdcamn, SUNWdcav

  3. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)

    4. 110383-01, 108528-05, 112438-01

  4. 請確定您有 pk12util modutil 兩項工具。

    5. 這些工具會安裝在 /usr/sfw/bin 目錄下。若在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  5. 建立插槽檔案:

    6. vi /etc/opt/SUNWconn/crypto/slots

    並將 "crypta@sra" 置於檔案中的首位且為唯一的行。

  6. 建立並設定範圍。
    1. 以超級使用者的身份登入。
    2. 鍵入以下指令:

      3. cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功建立範圍 sra。

  7. 建立使用者:
    1. 鍵入並回應以下指令:

      2. secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}>create user=crypta

      初始密碼:

      確認密碼:

      已成功建立使用者 crypta。

  8. 以您建立的使用者登入。

    9. secadm{root@sra}> login user=crypta

    密碼:

    secadm{crypta@sra}> show key

    此使用者無可用的金鑰。

  9. 載入 Sun Crypto 模組。

    10. 環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    請利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWps/cert /default

  10. 將閘道憑證及金鑰匯出至「Sun Crypto Module」。

    11. 環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"

    現在請執行顯示金鑰指令:

    secadm{crypta@sra}> show key

    您應可看到此使用者的兩個金鑰。

  11. 變更 /etc/opt/SUNWps/cert/default/.nickname 檔案中的暱稱。

    12. vi /etc/opt/SUNWps/cert/default/.nickname

    crypta@sra:server-cert 取代 server-cert

  12. 啟用加速密碼。

    13. SUN CA1000 會加速 RSA 的運行速度,但僅支援 DES 與 3DES 密碼加速。

  13. 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以啟用加速器:

    14. gateway.enable.accelerator=true

  14. 從終端機視窗重新啟動閘道:

    15. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    備註

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。

Sun Crypto Accelerator 4000

Sun Crypto Accelerator 4000 板是一個基於乙太網路的十億位元網路介面卡,支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。

除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外,其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。

Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。

啟用 Crypto Accelerator 4000

請確定已安裝 SRA 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。下列檢核清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。

表 13-2 列出 Crypto Accelerator 4000 參數與值。

表 13-2  Crypto Accelerator 4000 安裝檢核清單 

參數

Portal Server Secure Remote Access 安裝基底目錄

/opt

SRA 實例

default

SRA 憑證資料庫路徑

/etc/opt/SUNWps/cert/default

SRA 伺服器憑證暱稱

server-cert

CA4000 金鑰庫

srap

CA4000 金鑰庫使用者

crypta

配置 Crypto Accelerator 4000

    若要配置 Crypto Accelerator 4000
  1. 請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:

    2. http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式):114795
  3. 請確定您有下列工具:certutilpk12util modutil

    4. 這些工具會安裝在 /usr/sfw/bin

    如果在 /usf/sfw/bin 目錄中找不到工具,您需要

    在 Sun Java System 發行媒體中手動新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  4. 初始化此板。

    5. 執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。

    初始安全官員姓名:sec_officer

    金鑰庫名稱:sra-keystore

    在 FIPS 140-2 模式下執行:No

  5. 建立使用者。

    6. vcaadm{vca0@localhost, sec_officer}> create user

    新使用者名稱:crypta

    輸入新使用者密碼:

    確認密碼:

    已成功建立使用者 crypta。

  6. 將記號對映至金鑰庫。

    7. vi /opt/SUNWconn/cryptov2/tokens

    sra-keystore 附加至檔案。

  7. 啟用整批資料加密。

    8. touch /opt/SUNWconn/cryptov2/sslreg

  8. 載入 Sun Crypto 模組。

    9. 環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    您可利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWps/cert /default

  9. 將閘道憑證及金鑰匯出至「Sun Crypto Module」。

    10. 環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"

    您可利用下列指令確認是否已匯出此金鑰:

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default

  10. 變更 /etc/opt/SUNWps/cert/default/.nickname 檔案中的暱稱:

    11. vi /etc/opt/SUNWps/cert/default/.nickname

    sra-keystore:server-cert 取代 server-cert

  11. 啟用加速密碼。

    12. 請參閱啟用 SSL 加密選項

  12. 從終端機視窗重新啟動閘道:

    13. portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

    閘道會提示您輸入金鑰庫密碼。

    輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼

    備註

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。

外部 SSL 裝置與代理伺服器加速器

在開放模式下,外部 SSL 裝置可在 Secure Remote Access (SRA) 之前執行。其提供用戶端與 SRA 之間的 SSL 連結。

啟用外部 SSL 裝置加速器

    若要啟用外部 SSL 裝置加速器
  1. 請確定已安裝 SRA,且已有閘道在開放模式 (HTTP 模式) 下執行:
  2. 啟用 HTTP 連線。請參閱啟用 HTTP 基本認證

表 13-3 列出外部 SSL 裝置與代理伺服器加速器的參數與值。

表 13-3  外部 SSL 裝置與代理伺服器加速器檢核清單

參數

SRA 實例

default

閘道模式

http

閘道連接埠

880

外部裝置/代理伺服器連接埠

443

配置外部 SSL 裝置加速器

    若要配置外部 SSL 裝置加速器
  1. 請遵照使用者指南中的指示安裝硬體與軟體套件。
  2. 請安裝必需安裝的修補程式 (若有的話)。
  3. 配置閘道實例以使用 HTTP。
  4. 請在 platform.conf 檔案中輸入下列值:

    5. gateway.enable.customurl=true

    gateway.enable.accelerator=true

    gateway.httpurl=https://external-device-URL:port-number

  5. 有兩種方式可配置閘道通知:
    • 當 Access Manager 可於 880 埠聯繫閘道機器時 (階段作業通知將會以 http 的形式呈現),請在 platform.conf 檔案中輸入數值。

      vi /etc/opt/SUNWps/platform.conf.default

      gateway.protocol=http

      gateway.port=880

    • 當 Access Manager 可於 443 埠聯繫外部裝置/代理伺服器時 (階段作業通知將會以 HTTPS 的形式呈現),請在 platform.conf 檔案中輸入數值。

      vi /etc/opt/SUNWps/platform.conf.default

      gateway.host=External Device/Proxy Host Name

      gateway.protocol=https

      gateway.port=443

  6. 請確定已開啟並執行 SSL 裝置/代理伺服器,且已配置為將通訊流量導向閘道連接埠。
  7. 從終端機視窗重新啟動閘道:

    8. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start



上一頁      目錄      索引      下一頁     

文件號碼:819-4617。 Copyright 2005 Sun Microsystems, Inc. 版權所有。