Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
付録 A
SSL アクセラレータの設定この章では、SunTM Portal Server, Secure Remote Access の各種アクセラレータを設定する方法について説明します。
この章で説明する内容は次のとおりです。
概要暗号化アクセラレータは、SSL 機能をサーバーの CPU からオフロードする専用のハードウェアコプロセッサです。これを使用することで、CPU は別のタスクを実行できるようになるので、SSL トランザクションの処理速度が向上します。
Sun Crypto Accelerator 1000SunTM Crypto Accelerator 1000 (Sun CA1000) ボードは、公開鍵と対称暗号化を加速する暗号化コプロセッサとして機能するショート PCI ボードです。この製品には外部インタフェースがありません。ボードは内部 PCI バスインタフェースを通じてホストと対話します。このボードの目的は、電子商取引アプリケーションのセキュリティプロトコルのために、計算を中心とするさまざまな暗号化アルゴリズムを高速化することです。
RSA [7] や Triple-DES (3DES) [8] など、多くの重要暗号化機能がアプリケーションから Sun CA1000 にオフロードされ、並行処理されます。これにより、CPU を他のタスクに振り分けられるようになり、SSL トランザクションの処理速度が向上します。
Sun Crypto Accelerator 1000 の有効化
SunTM ONE Portal Server, Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。SSL アクセラレータをインストールする前に、次のチェックリストに基づいて必要な情報を入手してください。
表 A-1 は、Crypto Accelerator 1000 のパラメータと値を示しています。最初の列はパラメータ、2 番目の列は値を示します。
Sun Crypto Accelerator 1000 の設定
Sun Crypto Accelerator 1000 を設定するには
- ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- CD から次のパッケージをインストールします。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
- 次のパッチをインストールします。(パッチは http://sunsolve.sun.com で入手できます。)
110383-01、108528-05、112438-01
- pk12util および modutil というツールがインストールされていることを確認します。
SRA 6.0 では、これらのツールは /opt/SUNWps/bin の下にインストールされます。
SRA 6.2 では、これらのツールは /usr/lib/mps/secv1/bin の下にインストールされます。
- スロットファイルを作成します。
vi /etc/opt/SUNWconn/crypto/slots
このファイルの唯一の行として、「crypta@sra」を入力します。
- レルムとユーザーを作成します。
cd /opt/SUNWconn/bin/secadm
secadm> create realm=sra
System Administrator Login Required
Login:root
Password:
Realm sra created successfully.
secadm> set realm=sra
secadm{srap}> su
System Administrator Login Required
Login:root
Password:
secadm{root@sra}>create user=crypta
Initial password:
Confirm password:
User crypta created successfully.
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
No keys exist for this user.
- Sun Crypto モジュールをロードします。
SRA 6.0 では、環境変数 LD_LIBRARY_PATH が /opt/SUNWps/lib/solaris/sparc をポイントする必要があります。
SRA 6.2 では、環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
次のコマンドを実行して、このモジュールがロードされたことを確認します。
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 次のコマンドを実行し、証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
SRA 6.0 では、環境変数 LD_LIBRARY_PATH が /opt/SUNWps/lib/solaris/sparc をポイントする必要があります。
SRA 6.2 では、環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"
次に、show key コマンドを実行します。
secadm{crypta@sra}> show key
このユーザーの 2 つの鍵が表示されます。
- /etc/opt/SUNWps/cert/default/.nickname ファイルでニックネームを変更します。
vi /etc/opt/SUWNps/cert/default/.nickname
server-cert を crypta@sra:server-cert に置き換えます。
- 高速化する暗号化方式を選択します。
Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。このいずれかの暗号化方式を有効にするには、次の手順を実行します。
SRA 6.0:
ゲートウェイ >> SSL 暗号化方式の選択を有効>> SSLv3 暗号化方式>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA または SSL3_RSA_WITH_DES_CBC_SHA
SRA 6.2:
ゲートウェイ >> セキュリティ >> SSL 暗号化方式の選択を有効>> SSLv3 暗号化方式>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA または SSL3_RSA_WITH_DES_CBC_SHA
- /etc/opt/SUNWps/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。
gateway.enable.accelerator=true
- 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Sun Crypto Accelerator 4000SunTM Crypto Accelerator 4000 ボードは、ギガビットイーサネットベースのネットワークインタフェースカードで、Sun サーバーでの IPsec および SSL (どちらも対称および非対称) の暗号化ハードウェアアクセラレーションをサポートします。
暗号化されていないネットワークトラフィックの標準ギガビットイーサネットネットワークインタフェースカードとして機能するほかに、このボードには、暗号化された IPsec トラフィックのスループット向上をサポートする暗号化ハードウェアも含まれます。
Crypto Accelerator 4000 ボードは、ハードウェアとソフトウェアの両方の暗号化アルゴリズムをアクセラレートします。また、DES および 3DES 暗号化方式の一括暗号化もサポートします。
Sun Crypto Accelerator 4000 の有効化
Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。SSL アクセラレータをインストールする前に、次のチェックリストに基づいて必要な情報を入手してください。
表 A-1 は、Crypto Accelerator 4000 のパラメータと値を示しています。最初の列はパラメータ、2 番目の列は値を示します。
Sun Crypto Accelerator 4000 の設定
Sun Crypto Accelerator 4000 を設定するには
- ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。次の情報を参照してください。
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 次のパッチをインストールします。(パッチは http://sunsolve.sun.com で入手できます): 114795
- certutil、pk12util および modutil というツールがインストールされていることを確認します。
SRA 6.0 では、これらのツールは /opt/SUNWps/bin の下にインストールされます。
SRA 6.2 では、これらのツールは /usr/lib/mps/secv1/bin の下にインストールされます。
- ボードを初期化します。
/opt/SUNWconn/bin/vcadm ツールを実行して Crypto ボードを初期化し、次の値を設定します。
Initial Security Officer Name:sec_officer
Keystore name:sra-keystore
Run in FIPS 140-2 Mode:No
- ユーザーを作成します。
vcaadm{vca0@localhost, sec_officer}> create user
New user name:crypta
Enter new user password:
Confirm password:
User crypta created successfully.
- キーストアにトークンをマッピングします。
vi /opt/SUNWconn/cryptov2/tokens
次に、このファイルに sra-keystore を追加挿入します。
- 一括暗号化を有効にします。
touch /opt/SUNWconn/cryptov2/sslreg
- Sun Crypto モジュールをロードします。
SRA 6.0 では、環境変数 LD_LIBRARY_PATH が /opt/SUNWps/lib/solaris/sparc をポイントする必要があります。
SRA 6.2 では、これは /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
次のコマンドを実行することで、このモジュールがロードされたことを確認できます。
modutil -list -dbdir /etc/opt/SUNWps/cert/default
- 次のコマンドを実行し、証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
SRA 6.0 では、環境変数 LD_LIBRARY_PATH が /opt/SUNWps/lib/solaris/sparc をポイントする必要があります。
SRA 6.2 では、これは /usr/lib/mps/secv1/ をポイントする必要があります。
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"
次のコマンドを実行することで、鍵がエクスポートされたことを確認できます。
certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default
- /etc/opt/SUWNps/cert/default/.nickname ファイルでニックネームを変更します。
vi /etc/opt/SUWNps/cert/default/.nickname
server-cert を sra-keystore:server-cert に置き換えます。
- 高速化する暗号化方式を選択します。
Sun CA4000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。このいずれかの暗号化方式を有効にするには、次の手順を実行します。
SRA 6.0:
ゲートウェイ >> SSL 暗号化方式の選択を有効>> SSLv3 暗号化方式>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA または SSL3_RSA_WITH_DES_CBC_SHA
SRA 6.2:
ゲートウェイ >> セキュリティ >> SSL 暗号化方式の選択を有効>> SSLv3 暗号化方式>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA または SSL3_RSA_WITH_DES_CBC_SHA
- 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ゲートウェイは、キーストアのパスワードを要求します。
"sra-keystore":crypta:crytpa-password のパスワードまたは Pin を入力します。
外部 SSL デバイスとプロキシアクセラレータオープンモードの Secure Remote Access の前段で外部 SSL デバイスを実行できます。これは、クライアントと Secure Remote Access の間に SSL リンクを提供します。
外部 SSL デバイスアクセラレータの有効化
Secure Remote Access がインストールされ、ゲートウェイがセキュアモード (HTTPS モード) で稼動していることを確認します。
ゲートウェイ >> HTTPS 接続を有効
ゲートウェイ >> HTTP ポート : 880
表 A-3 は、外部 SSL デバイスとプロキシアクセラレータのパラメータと値を示しています。最初の列はパラメータ、2 番目の列は値を示します。
表 A-3 外部 SSL デバイスとプロキシアクセラレータのチェックリスト
パラメータ
値
SRA インスタンス
デフォルト
ゲートウェイのモード
https
ゲートウェイのポート
880
外部デバイス / プロキシのポート
443
外部 SSL デバイスアクセラレータの設定
外部 SSL デバイスアクセラレータを設定するには
- ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。
- 必須または推奨のパッチがあれば、それをインストールします。
- SSL デバイス、プロキシのサポートを有効にします。
vi /etc/opt/SUNWps/platform.conf.default
gateway.enable.accelerator=true
外部デバイス / プロキシのホスト名がゲートウェイのホスト名と異なる場合は、次のように設定します。
gateway.enable.customurl=true
gateway.httpsurl=external-device.domain.subdomain/proxy-URL
- ゲートウェイ通知は、次の 2 つの方法で設定できます。
- SSL デバイス、プロキシが稼動し、トラフィックがゲートウェイポートにトンネルされるように設定されたことを確認します。
- 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start