付録 A   SSL アクセラレータの設定


この章では、SSL Accelerator とその設定について説明します。

ここで扱う項目は次のとおりです。

• SSL アクセラレータの概要

• Sun ONE Portal Server, Secure Remote Access の SSL ハードウェアサポートの有効化

• 詳細情報

SSL アクセラレータの概要

---

ハードウェアのアクセラレータを使用すると、暗号化アルゴリズムの実行が高速化するため、パフォーマンスが向上します。

Sun Crypto Accelerator 1000 ボードは、パブリックキーと対称暗号化を加速する暗号化コプロセッサとして機能するショート PCI ボードです。 この製品には外部インターフェイスがありません。 ボードは内部 PCI バスインターフェイスを通じてホストと対話します。 このボードの目的は、eコマースアプリケーションのセキュリティプロトコルのために、計算を中心とするさまざまな暗号化アルゴリズムを加速化することです。

Sun ONE Portal Server, Secure Remote Access の SSL ハードウェアサポートの有効化

---

前提条件

Sun ONE Portal Server、Secure Remote Access がインストールされていること、また (自己署名、または任意の CA が発行した)ゲートウェイサーバー証明書がインストールされていることを確認します。 SSL アクセラレータをインストールする前に、次のチェックリストを活用して必要な情報を入手してください。 表 6-4 は 2 つの列から構成されています。 最初の列はパラメータを、2 番目の列は値を表示します。

表 6-4    SSL アクセラレータのインストールチェックリスト

パラメータ	値
暗号化アクセラレータ	Sun Crypto Accelerator 1000
Secure Remote Access インストール基本ディレクトリ	/opt
Secure Remote Access 認証データベースディレクトリ	/etc/opt/SUNWps/cert
Secure Remote Access サーバー証明書ニックネーム	server-cert
レルム	srap
レルムユーザー	crypta

SSL アクセラレータを設定する手順

---

注	次の手順ではすべてのシェルコマンドに csh が使用されていると仮定します。

---

1. ハードウェアのユーザーのガイドの指示に従って、ハードウェアをインストールします。

2. Sun Crypto Accelerator 1000 のインストール CD から、次のパッケージをインストールします。
   • SUNWcrypm

   • SUNWcrypu

   • SUNWcrysu

   • SUNWdcar

   • SUNWcrypr

   • SUNWcrysl

   • SUNWdcamn

   • SUNWdcav

3. 次のパッチをインストールします。
   • 110383-01

   • 108528-05

   • 112438-01

   パッチは http://sunsolve.sun.com から取得できます。

4. ツール pk12util と modutil がインストールされていることを確認します。

   これらのツールは、Sun ONE Portal Server、Secure Remote Access をインストールすると InstallDir/SUNWps/bin 内に置かれます。

5. 次の手順で slots ファイルを作成します。

   vi /etc/opt/SUNWconn/crypto/slots

6. slots ファイルに次の行を追加します。

   crypta@srap

7. 次のコマンドを使ってレルムとユーザーを作成します。

   cd InstallDir/SUNWconn/bin

   #./secadm

   secadm> create realm=srap

   System Administrator Login Required

   Login: root

   Password:

   Realm srap created successfully.

   secadm> set realm=srap

   secadm{srap}> su

   System Administrator Login Required

   Login: root

   Password:

   secadm{root@srap}# create user=crypta

   Initial password:

   Confirm password:

   User crypta created successfully.

   secadm{root@srap}# login user=crypta

   Password:

   レルムとユーザーについては、『Sun Crypto Accelerator 1000 ユーザーズガイド』を参照してください。

8. show key コマンドを実行し、作成したユーザーにキーがないことを確認します。

   secadm{crypta@srap}> show key

   No keys exist for this user.

9. Sun Crypto モジュールを次の手順でロードします。

   cd InstallDir/SUNWps/bin

   setenv LD_LIBRARY_PATH InstallDir/SUNWps/lib/solaris/sparc

   modutil -dbdir /etc/opt/SUNWps/cert -add "Sun Crypto Module" -libfile InstallDir/SUNWconn/crypto/lib/libpkcs11.so

10. 次のコマンドで Sun Crypto モジュールが読み込まれたことを確認します。

    modutil -list -dbdir /etc/opt/SUNWps/cert

11. 次のコマンドで証明書とキーを Sun Crypto モジュールにエクスポートします。

    cd InstallDir/SUNWps/bin

    setenv LD_LIBRARY_PATH InstallDir/SUNWps/lib/solaris/sparc

    pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert -h "crypta@srap" -K password -W password

12. 手順8で示すように show key コマンドを実行します。

    このユーザーには 2 つのキーが表示されます。

13. /etc/opt/SUWNps/cert/.nickname ファイルでニックネームを変更します。

    vi /etc/opt/SUWNps/cert/.nickname

    server-certをcrypta@srap:server-cert に置き換えます。

14. ゲートウェイを再起動します。

    Sun Crypto Hardware Accelerator 1000 サポートでゲートウェイが有効になっています。

詳細情報

---

『Sun Crypto Accelerator 1000 ユーザーズガイド』

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-4567-10.pdf

リリースノート

http://www.sun.com/products-n-solutions/hardware/docs/
pdf/816-4572-10.pdf

詳細リンク

http://www.sun.com/products-n-solutions/hardware/docs/Network_Connectivity/Crypto_Boards/