| Sun ONE Portal Server, Secure Remote Access 6.2 管理員指南 |
附錄 A
配置 SSL 加速器本章說明如何配置 Sun™ Portal Server, Secure Remote Access 的不同加速器。
本章涵蓋下列主題:
摘要Crypto Accelerator 為專用的輔助處理器,可完全卸載伺服器中央處理器的 SSL 運算資源,從而釋出中央處理器以執行其他工作,並提高 SSL 事務處理的處理速度。
Sun Crypto Accelerator 1000Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。
許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務處理的處理速度。
啟用 Crypto Accelerator 1000
請確定已安裝 Sun™ ONE Portal Server, Secure Remote Access,且亦已安裝閘道伺服器認證 (自簽或由任何 CA 所核發)。下列核對清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。
表 A-1 列出 Crypto Accelerator 1000 參數與值。第一欄列出參數;第二欄列出其值。
配置 Crypto Accelerator 1000
若要配置 Crypto Accelerator 1000
- 請遵照使用者指南中的指示安裝硬體。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 請從光碟安裝下列套件。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
- 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)
110383-01, 108528-05, 112438-01
- 請確定您有下列工具:pk12util 與 modutil。
若為 SRA 6.0,這些工具會安裝在 /opt/SUNWps/bin 下
若為 SRA 6.2,這些工具會安裝在 /usr/lib/mps/secv1/bin 下
- 建立插槽檔案:
vi /etc/opt/SUNWconn/crypto/slots
並將 "crypta@sra" 置於檔案中的首位且為唯一的行。
- 建立範圍與使用者。
cd /opt/SUNWconn/bin/secadm
secadm> create realm=sra
系統管理員登入需要
登入:root
密碼:
已成功建立範圍 sra。
secadm> set realm=sra
secadm{srap}> su
系統管理員登入需要
登入:root
密碼:
secadm{root@sra}>create user=crypta
初始密碼:
確認密碼:
已成功建立使用者 crypta。
secadm{root@sra}> login user=crypta
密碼:
secadm{crypta@sra}> show key
此使用者無可用的金鑰。
- 載入 Sun Crypto 模組。
若為 SRA 6.0,環境變數 LD_LIBRARY_PATH 必須指向 /opt/SUNWps/lib/solaris/sparc
若為 SRA 6.2,環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
請利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 將閘道證書及金鑰匯出至 "Sun Crypto Module"。
若為 SRA 6.0,環境變數 LD_LIBRARY_PATH 必須指向 /opt/SUNWps/lib/solaris/sparc
若為 SRA 6.2,環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "crypta@sra"
現在請執行顯示金鑰指令:
secadm{crypta@sra}> show key
您應可看到此使用者的兩個金鑰。
- 變更 /etc/opt/SUNWps/cert/default/.nickname 檔案中的暱稱。
vi /etc/opt/SUWNps/cert/default/.nickname
以 crypta@sra:server-cert 取代 server-cert
- 選取加速密碼。
SUN CA1000 會加速 RSA 的運行速度,但僅支援 DES 與 3DES 密碼加速。若要啟用其中一個密碼,請執行下列動作
若為 SRA 6.0:
閘道 >> 啟用 SSL 加密選項:>> SSL3 加密:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
若為 SRA 6.2:
閘道 >> 安全性 >> 啟用 SSL 加密選項:>> SSL3 加密:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
- 修改 /etc/opt/SUNWps/platform.conf.gateway-profile-name 以啟用加速器:
gateway.enable.accelerator=true
- 從終端機視窗重新啟動閘道:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Sun Crypto Accelerator 4000Sun™ Crypto Accelerator 4000 板是一個以乙太網路為基礎的十億位元網路介面卡,支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。
除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外,其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。
Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。
啟用 Crypto Accelerator 4000
請確定已安裝 Secure Remote Access,且亦已安裝閘道伺服器認證 (自簽或由任何 CA 所核發)。下列核對清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。
表 A-2 列出 Crypto Accelerator 4000 參數與值。第一欄列出參數;第二欄列出其值。
.
配置 Crypto Accelerator 4000
若要配置 Crypto Accelerator 4000
- 請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
- 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式): 114795
- 請確定您有下列工具:certutil、pk12util 與 modutil。
若為 SRA 6.0,這些工具會安裝在 /opt/SUNWps/bin 下
若為 SRA 6.2,這些工具會安裝在 /usr/lib/mps/secv1/bin 下
- 初始化此板。
執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。
初始安全官員姓名:sec_officer
金鑰庫名稱:sra-keystore
在 FIPS 140-2 模式下執行:No
- 建立使用者。
vcaadm{vca0@localhost, sec_officer}> create user
新使用者名稱:crypta
輸入新使用者密碼:
確認密碼:
已成功建立使用者 crypta。
- 將記號對映至金鑰庫。
vi /opt/SUNWconn/cryptov2/tokens
將 sra-keystore 附加/新增至檔案。
- 啟用整批資料加密。
touch /opt/SUNWconn/cryptov2/sslreg
- 載入 Sun Crypto 模組。
若為 SRA 6.0,環境變數 LD_LIBRARY_PATH 必須指向 /opt/SUNWps/lib/solaris/sparc
若為 SRA 6.2,則其應指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWps/cert /default
- 將閘道證書及金鑰匯出至 "Sun Crypto Module"。
若為 SRA 6.0,環境變數 LD_LIBRARY_PATH 必須指向 /opt/SUNWps/lib/solaris/sparc
若為 SRA 6.2,則其應指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWps/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWps/cert/default -h "sra-keystore"
您可利用下列指令確認是否已匯出此金鑰:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWps/cert/default
- 變更 /etc/opt/SUWNps/cert/default/.nickname 檔案中的暱稱:
vi /etc/opt/SUWNps/cert/default/.nickname
以 sra-keystore:server-cert 取代 server-cert
- 選取加速密碼。
SUN CA4000 會加速 RSA 的運行速度,但僅支援 DES 與 3DES 密碼加速。若要啟用其中一個密碼,請執行下列動作
若為 SRA 6.0:
閘道 >> 啟用 SSL 加密選項:>> SSL3 加密:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
若為 SRA 6.2:
閘道 >> 安全性 >> 啟用 SSL 加密選項:>> SSL3 加密:>> SSL3_RSA_WITH_3DES_EDE_CBC_SHA 或 SSL3_RSA_WITH_DES_CBC_SHA
- 從終端機視窗重新啟動閘道:
portal-server-install-root/SUNWps/bin/gateway -n gateway-profile-name start
閘道將提示您輸入金鑰庫密碼。
輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼
外部 SSL 裝置與代理伺服器加速器在開放模式下,外部 SSL 裝置可在 Secure Remote Access 之前執行。其提供用戶端與 Secure Remote Access 之間的 SSL 連結。
啟用外部 SSL 裝置加速器
請確定已安裝 Secure Remote Access,且已有閘道在安全模式 (HTTPS 模式)下執行:
閘道 >> 啟用 HTTPS 連線
閘道>> HTTP 連接埠: 880
表 A-3 列出外部 SSL 裝置與代理伺服器加速器的參數與值。第一欄列出參數;第二欄列出其值。
配置外部 SSL 裝置加速器
若要配置外部 SSL 裝置加速器
- 請遵照使用者指南中的指示安裝硬體與軟體套件。
- 請安裝所需/建議安裝的修補程式 (若有的話)。
- 啟用 SSL 裝置/代理伺服器支援:
vi /etc/opt/SUNWps/platform.conf.default
gateway.enable.accelerator=true
若外部裝置/代理伺服器主機名稱與閘道主機名稱不同:
gateway.enable.customurl=true
gateway.httpsurl=external-device.domain.subdomain/proxy-URL
- 有兩種方式可配置閘道通知:
- 請確定已開啟並執行 SSL 裝置/代理伺服器,且已配置為將通訊流量導向閘道連接埠。
- 從終端機視窗重新啟動閘道:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
