| Sun ONE Portal Server, Secure Remote Access 6.2 管理员指南 |
附录 A
配置 SSL 加速器本章介绍如何为 Sun Portal Server,Secure Remote Access 配置各种加速器。
本章包括以下主题:
概述Crypto Accelerator 是专用的硬件协处理器,用于从服务器的中央处理器卸载 SSL 功能,借此释放中央处理器空间以使其执行其它任务,同时提高对 SSL 事务的处理速度。
Sun Crypto Accelerator 1000Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一块短 PCI 板,它可作为加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。
许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其它任务,同时提高对 SSL 事务的处理速度。
启用 Crypto Accelerator 1000
确保已安装了 Sun™ ONE Portal Server,Secure Remote Access,并且安装了网关服务器证书(自签名或由任一 CA 所签发)。以下清单有助于您在安装“SSL 加速器”之前熟悉所需信息。
表 A-1 列出了 Crypto Accelerator 1000 的参数和相应值。第一列列出参数,第二列列出相应的值。
表 A-1 Crypto Accelerator 1000 安装清单
参数
值
Secure Remote Access 安装基本目录
/opt
Secure Remote Access 证书数据库路径
/etc/opt/SUNWps/cert/default
Secure Remote Access 服务器证书昵称
server-cert
区域
sra-keystore
区域用户
crypta
配置 Crypto Accelerator 1000
配置 Crypto Accelerator 1000
- 按照用户指南中的说明安装硬件。请参阅:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
- 安装以下增补程序。(您可从 http://sunsolve.sun.com 取这些程序)
110383-01, 108528-05, 112438-01
- 确保您拥有 pk12util 和 modutil 工具。
对于 SRA 6.0,这些工具安装在 /opt/SUNWps/bin 下
对于 SRA 6.2,这些工具安装在 /usr/lib/mps/secv1/bin 下
- 创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
- 创建区域和用户。
cd /opt/SUNWconn/bin/secadm
secadm> create realm=sra
需要系统管理员登录
登录:root
口令:
已成功创建区域 sra。
secadm> set realm=sra
secadm{srap}> su
需要系统管理员登录
登录:root
口令:
secadm{root@sra}>create user=crypta
初始口令:
确认口令:
已成功创建用户 crypta。
secadm{root@sra}> login user=crypta
口令:
secadm{crypta@sra}> show key
不存在此用户的密钥。
- 载入 Sun Crypto 模块。
对于 SRA 6.0,环境变量 LD_LIBRARY_PATH 必须指向 /opt/SUNWps/lib/solaris/sparc
对于 SRA 6.2,环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
类型:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 将网关证书和密钥导出到“Sun Crypto 模块”中。
对于 SRA 6.0,环境变量 LD_LIBRARY_PATH 必须指向 /opt/SUNWps/lib/solaris/sparc
对于 SRA 6.2,环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
类型:
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
- 更改 /etc/opt/SUNWps/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUWNps/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
- 选择加速密码。
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。要启用这些密码其中之一,可执行以下操作
对于 SRA 6.0:
网关 >> 启用 SSL 密码选择:>> SSL3 密码:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
对于 SRA 6.2
网关 >> 安全 >> 启用 SSL 密码选择:>> SSL3 密码:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
- 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以启用加速器:
gateway.enable.accelerator=true
- 从终端窗口重新启动网关:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Sun Crypto Accelerator 4000Sun™ Crypto Accelerator 4000 板是一个基于以太网的千兆网卡,它支持 Sun 服务器上 IPsec 和 SSL(对称和不对称)的加密硬件加速。
除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。
Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。
启用 Crypto Accelerator 4000
确保已安装了 Secure Remote Access,并安装了网关服务器证书(自签名或由任一 CA 所签发)。以下清单有助于您在安装“SSL 加速器”之前熟悉所需信息。
表 A-2 列出了 Crypto Accelerator 4000 的参数和相应值。第一列列出参数,第二列列出相应的值。
配置 Crypto Accelerator 4000
配置 Crypto Accelerator 4000
- 按用户指南中的说明安装硬件和软件包。请参阅:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 安装以下增补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
- 确保您拥有 certutil、pk12util 和 modutil 工具。
对于 SRA 6.0,这些工具安装在 /opt/SUNWps/bin 下
对于 SRA 6.2,这些工具安装在 /usr/lib/mps/secv1/bin 下
- 初始化该板。
运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板,并设置下列值。
初始安全主管名:sec_officer
Keystore 名称:sra-keystore
以 FIPS 140-2 模式下运行:否
- 创建一个用户。
vcaadm{vca0@localhost, sec_officer}> create user
新用户名: crypta
输入新的用户口令:
确认口令:
已成功创建用户 crypta。
- 将令牌映射到 key store。
vi /opt/SUNWconn/cryptov2/tokens
然后,将 sra-keystore 追加/添加到文件中。
- 启用整体加密。
touch /opt/SUNWconn/cryptov2/sslreg
- 载入 Sun Crypto 模块。
对于 SRA 6.0,环境变量 LD_LIBRARY_PATH 必须指向 /opt/SUNWps/lib/solaris/sparc
对于 SRA 6.2,它应当指向 /usr/lib/mps/secv1/
类型:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可使用以下命令检验是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 将网关证书和密钥导出到“Sun Crypto 模块”中。
对于 SRA 6.0,环境变量 LD_LIBRARY_PATH 必须指向 /opt/SUNWps/lib/solaris/sparc
对于 SRA 6.2,它应当指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"
您可使用以下命令检验是否已经导出密钥:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default
- 更改 /etc/opt/SUWNps/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUWNps/cert/default/.nickname
用 sra-keystore:server-cert 替换 server-cert
- 选择加速密码。
SUN CA4000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。要启用这些密码其中之一,可执行以下操作
对于 SRA 6.0:
网关 >> 启用 SSL 密码选择:>> SSL3 密码:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
对于 SRA 6.2:
网关 >> 安全 >> 启用 SSL 密码选择:>> SSL3 密码:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
- 从终端窗口重新启动网关:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
网关会提示您输入 keystore 口令。
为 "sra-keystore":crypta:crytpa-password 输入口令或 Pin
外部 SSL 设备和代理加速器外部 SSL 设备可在开放模式下于 Secure Remote Access 前端运行。它在客户机和 Secure Remote Access 之间提供了 SSL 链接。
启用外部 SSL 设备加速器
确保已安装了 Secure Remote Access,并且网关在安全模式下(HTTPS 模式)运行:
网关 >> 启用 HTTPS 连接
网关>> HTTP 端口:880
表 A-3 列出了 SSL 设备和代理加速器的参数及相应的值。第一列列出参数,第二列列出相应的值。
配置外部 SSL 设备加速器
配置外部 SSL 设备加速器
- 按用户指南中的说明安装硬件和软件包。
- 安装必需的/建议的增补程序(如果有)。
- 启用 SSL 设备/代理支持:
vi /etc/opt/SUNWps/platform.conf.default
gateway.enable.accelerator=true
如果外部设备/代理主机名与网关主机名不同:
gateway.enable.customurl=true
gateway.httpsurl=external-device.domain.subdomain/proxy-URL
- 可以两种方式配置网关通知:
- 确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
- 从终端窗口重新启动网关:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
