부록A
SSL 가속기 구성

이 장에서는 Sun™ Portal Server, Secure Remote Access에 다양한 가속기를 구성하는 방법을 설명합니다.

이번 장에서는 다음 주제를 다룹니다.

Sun Crypto Accelerator 1000
Sun Crypto Accelerator 4000
외부 SSL 장치 및 프락시 가속기

---

개요

암호화 가속기(Crypto Accelerator)는 서버 CPU의 SSL 기능을 분담함으로써 CPU가 다른 작업을 수행하도록 하여 SSL 트랜잭션의 처리 속도를 높이는 전용 하드웨어 코프로세서입니다.

---

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 보드는 암호화 코프로세서로 작동하여 공용 키와 대칭 암호화를 가속화하는 짧은 형태의 PCI 보드입니다. 이 제품에는 외부 인터페이스가 없습니다. 이 보드는 내부 PCI 버스 인터페이스를 통해 호스트와 통신합니다. 이 보드는 eCommerce 응용프로그램에서 보안 프로토콜을 위한 다양한 계산 집약적 암호화 알고리즘을 가속화하기 위한 목적으로 사용됩니다.

RSA [7] 및 Triple-DES (3DES) [8]와 같은 다수의 핵심 암호화 기능을 응용프로그램에서 Sun CA1000으로 분담시켜 병렬로 수행할 수 있습니다. 그러면 CPU가 자유롭게 다른 작업을 수행할 수 있어 SSL 트랜잭션의 처리 속도가 증가합니다.

Crypto Accelerator 1000 사용

Sun™ ONE Portal Server, Secure Remote Access가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 다음 점검 목록으로 SSL 가속기를 설치하기 전에 필요한 정보를 쉽게 확인할 수 있습니다.

표 11-1 은 Crypto Accelerator 1000 매개 변수와 그 값을 나타냅니다. 첫 번째 열은 매개 변수이고 두 번째 열은 값입니다.

표 11-1  Crypto Accelerator 1000 설치 점검 목록

매개 변수	값
Secure Remote Access 설치 기본 디렉토리	/opt
Secure Remote Access 인증서 데이터베이스 경로	/etc/opt/SUNWps/cert/default
Secure Remote Access 서버 인증서 별명	server-cert
영역	sra-keystore
영역 사용자	crypta

Crypto Accelerator 1000 구성

    Crypto Accelerator 1000을 구성하려면

사용 설명서의 지침에 따라 하드웨어를 설치합니다. 참조:

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

CD에서 다음 패키지를 설치합니다.

SUNWcrypm, SUNWcrypu, SUNWcrysu, SUNWdcar, SUNWcrypr, SUNWcrysl, SUNWdcamn, SUNWdcav

다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.)

110383-01, 108528-05, 112438-01

pk12util 및 modutil 도구가 있는지 확인하십시오.

SRA 6.0의 경우, 이 도구는 /opt/SUNWps/bin 아래에 설치되어 있습니다.

SRA 6.2의 경우, 이 도구는 /usr/lib/mps/secv1/bin 아래에 설치되어 있습니다.

슬롯 파일을 만듭니다.

vi /etc/opt/SUNWconn/crypto/slots

그리고 파일의 처음이자 유일한 라인으로 crypta@sra를 넣습니다.

영역과 사용자를 만듭니다.

cd /opt/SUNWconn/bin/secadm

secadm> create realm=sra

시스템 관리자 로그인이 필요합니다.

로그인: root

비밀번호:

영역 sra가 성공적으로 만들어졌습니다.

secadm> set realm=sra

secadm{srap}> su

시스템 관리자 로그인이 필요합니다.

로그인: root

비밀번호:

secadm{root@sra}>create user=crypta

초기 비밀번호:

비밀번호 확인:

사용자 crypta가 성공적으로 만들어졌습니다.

secadm{root@sra}> login user=crypta

비밀번호:

secadm{crypta@sra}> show key

이 사용자에게 키가 없습니다.

Sun Crypto 모듈을 로드합니다.

SRA 6.0의 경우, 환경 변수 LD_LIBRARY_PATH는 /opt/SUNWps/lib/solaris/sparc를 가리켜야 합니다.

SRA 6.2의 경우, 환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

다음 명령을 사용하여 이 모듈이 로드되었는지 확인합니다.

modutil -list -dbdir /etc/opt/SUNWps/cert /default

게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

SRA 6.0의 경우, 환경 변수 LD_LIBRARY_PATH는 /opt/SUNWps/lib/solaris/sparc를 가리켜야 합니다.

SRA 6.2의 경우, 환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"

이제 show key 명령을 실행합니다.

secadm{crypta@sra}> show key

이 사용자에게 2개의 키가 나타나야 합니다.

/etc/opt/SUNWps/cert/default/.nickname 파일에서 별명을 변경합니다.

vi /etc/opt/SUWNps/cert/default/.nickname

server-cert를 crypta@sra:server-cert로 교체합니다.

가속화에 대한 암호를 선택합니다.

SUN CA1000은 RSA 기능을 가속화하지만 DES와 3DES 암호화에 대한 가속만 지원합니다. 이러한 암호화 중 하나를 사용하려면 다음을 수행합니다.

SRA 6.0의 경우:

게이트웨이 >> SSL 암호화 선택 사용: >> SSL3 암호화: >> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 또는 SSL3_RSA_WITH_DES_CBC_SHA

SRA 6.2의 경우:

게이트웨이 >> 보안 >> SSL 암호화 선택 사용: >> SSL3 암호화: >> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 또는 SSL3_RSA_WITH_DES_CBC_SHA

가속기를 사용하도록 /etc/opt/SUNWps/platform.conf.gateway-profile-name을 수정합니다.

gateway.enable.accelerator=true

단말기 창에서 게이트웨이를 다시 시작합니다.

portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

참고	게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket (비 SSL)에 바인딩합니다. 들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다. PDC는 이 모드에서 작동하지 않습니다.

---

Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 보드는 Sun 서버에서 IPsec 및 SSL (대침 및 비대칭 모두)에 대한 암호화 하드웨어 가속을 지원하는 기가비트 이더넷 기반 네트워크 인터페이스 카드입니다.

암호화되지 않은 네트워크 트래픽을 위한 표준 기가비트 이더넷 네트워크 카드로 작동하는 외에 이 보드에는 암호화 IPsec 트래픽에 높은 처리 속도를 지원할 암호화 하드웨어가 포함되어 있습니다.

Crypto Accelerator 4000 보드는 하드웨어와 소프트웨어 모두에서 암호화 알고리즘을 가속화합니다. 암호화 DES 및 3DES에 대한 대량 암호화도 지원합니다.

Crypto Accelerator 4000 사용

Secure Remote Access가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 다음 점검 목록으로 SSL 가속기를 설치하기 전에 필요한 정보를 쉽게 확인할 수 있습니다.

표 11-1 은 Crypto Accelerator 4000 매개 변수와 그 값을 나타냅니다. 첫 번째 열은 매개 변수이고 두 번째 열은 값입니다.

표 11-2  Crypto Accelerator 4000 설치 점검 목록

매개 변수	값
Secure Remote Access 설치 기본 디렉토리	/opt
Secure Remote Access 인스턴스	기본값
Secure Remote Access 인증서 데이터베이스 경로	/etc/opt/SUNWps/cert/default
Secure Remote Access 서버 인증서 별명	server-cert
CA4000 키 저장소	srap
CA4000 키 저장소 사용자	crypta

Crypto Accelerator 4000 구성

    Crypto Accelerator 4000을 구성하려면

사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다. 참조:

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.) 114795
certutil, pk12util 및 modutil 도구가 있는지 확인하십시오.

SRA 6.0의 경우, 이 도구는 /opt/SUNWps/bin 아래에 설치되어 있습니다.

SRA 6.2의 경우, 이 도구는 /usr/lib/mps/secv1/bin 아래에 설치되어 있습니다.

보드를 초기화합니다.

/opt/SUNWconn/bin/vcadm 도구를 실행하여 암호화 보드를 초기화하고 다음 값을 설정합니다.

초기 보안 관리 이름: sec_officer

키 저장소 이름: sra-keystore

FIPS 140-2 모드에서 실행: No

사용자를 만듭니다.

vcaadm{vca0@localhost, sec_officer}> create user

새 사용자 이름: crypta

새 사용자 비밀번호 입력:

비밀번호 확인:

사용자 crypta가 성공적으로 만들어졌습니다.

키 저장소에 토큰을 매핑합니다.

vi /opt/SUNWconn/cryptov2/tokens

그리고 파일에 sra-keystore를 추가합니다.

대량 암호화의 사용을 설정합니다.

touch /opt/SUNWconn/cryptov2/sslreg

Sun Crypto 모듈을 로드합니다.

SRA 6.0의 경우, 환경 변수 LD_LIBRARY_PATH는 /opt/SUNWps/lib/solaris/sparc를 가리켜야 합니다.

SRA 6.2의 경우에는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

다음 명령을 사용하여 이 모듈이 로드되었는지 확인할 수 있습니다.

modutil -list -dbdir /etc/opt/SUNWps/cert /default

게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

SRA 6.0의 경우, 환경 변수 LD_LIBRARY_PATH는 /opt/SUNWps/lib/solaris/sparc를 가리켜야 합니다.

SRA 6.2의 경우에는 /usr/lib/mps/secv1/을 가리켜야 합니다.

pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"

다음 명령을 사용하여 키가 내보내졌는지 확인할 수 있습니다.

certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default

/etc/opt/SUWNps/cert/default/.nickname 파일에서 별명을 변경합니다.

vi /etc/opt/SUWNps/cert/default/.nickname

server-cert를 sra-keystore:server-cert로 교체합니다.

가속화에 대한 암호를 선택합니다.

SUN CA4000은 RSA 기능을 가속화하지만 DES와 3DES 암호화에 대한 가속만 지원합니다. 이러한 암호화 중 하나를 사용하려면 다음을 수행합니다.

SRA 6.0의 경우:

게이트웨이 >> SSL 암호화 선택 사용: >> SSL3 암호화: >> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 또는 SSL3_RSA_WITH_DES_CBC_SHA

SRA 6.2의 경우:

게이트웨이 >> 보안 >> SSL 암호화 선택 사용: >> SSL3 암호화: >> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 또는 SSL3_RSA_WITH_DES_CBC_SHA

단말기 창에서 게이트웨이를 다시 시작합니다.

portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start

게이트웨이가 키 저장소 비밀번호를 입력하도록 요청합니다.

"sra-keystore":crypta:crytpa-password에 대한 비밀번호 또는 PIN을 입력합니다.

참고	게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket (비 SSL)에 바인딩합니다. 들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다. PDC는 이 모드에서 작동하지 않습니다.

---

외부 SSL 장치 및 프락시 가속기

열린 모드에서 외부 SSL 장치를 Secure Remote Access 전방에서 실행할 수 있습니다. 이 장치는 클라이언트와 Secure Remote Access 사이에서 SSL 링크를 제공합니다.

외부 SSL 장치 가속기 사용

Secure Remote Access가 설치되어 있고 게이트웨이가 보안 모드(HTTPS 모드)에서 실행되어야 합니다.

게이트웨이 >> HTTPS 연결 사용

게이트웨이>> HTTP 포트: 880

표 11-3 은 외부 SSL 장치와 프락시 가속기 매개 변수 및 값을 나타냅니다. 첫 번째 열은 매개 변수이고 두 번째 열은 값입니다.

표 11-3  외부 SSL 장치 및 프락시 가속기 점검 목록

매개 변수	값
SRA 인스턴스	기본값
게이트웨이 모드	https
게이트웨이 포트	880
외부 장치/프락시 포트	443

외부 SSL 장치 가속기 구성

    외부 SSL 장치 가속기를 구성하려면

사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다.
해당하는 경우 필요한/권장되는 패치를 설치합니다.
SSL 장치/프락시 지원을 활성화합니다.

vi /etc/opt/SUNWps/platform.conf.default

gateway.enable.accelerator=true

외부 장치/프락시 호스트 이름이 게이트웨이 호스트 이름과 다른 경우,

gateway.enable.customurl=true

gateway.httpsurl=external-device.domain.subdomain/proxy-URL

두 가지 방법으로 게이트웨이 알림을 구성할 수 있습니다.
Identity 서버가 포트 880에서 게이트웨이 컴퓨터와 접속할 수 있는 경우(http로 세션 알림)

vi /etc/opt/SUNWps/platform.conf.default

gateway.protocol=http

gateway.port=880

Identity 서버가 포트 443에서 외부 장치/프락시와 접속할 수 있는 경우(HTTPS 세션 알림)

vi /etc/opt/SUNWps/platform.conf.default

gateway.host=External Device/Proxy Host Name

gateway.protocol=https

gateway.port=443

SSL 장치/프락시가 작동하고 있으며 게이트웨이 포트로 트래픽을 넘기도록 구성되어 있는지 확인합니다.
단말기 창에서 게이트웨이를 다시 시작합니다.

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

이전      목차      색인      다음

---

Copyright 2003 Sun Microsystems, Inc. 모든 권리는 저작권자의 소유입니다.