Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) ボードは、公開鍵と対称暗号化を加速する暗号化コプロセッサとして機能するショート PCI ボードです。この製品には外部インタフェースがありません。ボードは、内部 PCI バスインタフェースを通じてホストと対話します。このボードの目的は、電子商取引アプリケーションのセキュリティープロトコルのために、計算を中心とするさまざまな暗号化アルゴリズムを高速化することです。

RSA [7] や Triple-DES (3DES) [8] など、多くの重要暗号化機能がアプリケーションから Sun CA1000 にオフロードされ、並行処理されます。これにより、CPU をほかのタスクに振り分けられるようになり、SSL トランザクションの処理速度が向上します。

手順については、「Crypto Accelerator 1000 を設定する」を参照してください。

Crypto Accelerator 1000 の有効化

Portal Server Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。詳細については、第 10 章「証明書の操作」を参照してください。

「Crypto Accelerator 1000 の有効化」は、SSL アクセラレータをインストールする前に、必要な情報を確認するためのチェックリストです。このリストには、Crypto Accelerator 1000 のパラメータと値が示されています。

Crypto Accelerator 1000 を設定する

1. ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。

   http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

2. CD から次のパッケージをインストールします。

   SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

3. 次のパッチをインストールします。これらのパッチは http://sunsolve.sun.com から入手できます。

   110383-01、108528-05、112438-01

4. pk12util および modutil というツールがインストールされていることを確認します。

   これらのツールは /usr/sfw/bin の下にインストールされます。ツールが /usf/sfw/bin ディレクトリにない場合は、Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。

   Solaris_[sparc/x86]/Product/shared_components/

5. スロットファイルを作成します。

   vi /etc/opt/SUNWconn/crypto/slots

   このファイルの唯一の行として、「crypta@sra」を入力します。

6. レルムを作成し、設定します。

   1. root としてログインします。

   2. 次のコマンドを入力します。

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      Realm sra created successfully.

7. ユーザーを作成します。

   1. 次のコマンドを入力し、問い合わせに応答します。

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      User crypta created successfully.

8. 作成したユーザーとしてログインします。

   secadm{root@sra}> login user=crypta

   Password:

   secadm{crypta@sra}> show key

   No keys exist for this user.

9. Sun Crypto モジュールをロードします。

   環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。

   次のように入力します。

   modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

   次のコマンドを実行して、このモジュールがロードされたことを確認します。

   modutil -list -dbdir /etc/opt/SUNWportal/cert /default

10. 次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。

    環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    次に、show key コマンドを実行します。

    secadm{crypta@sra}> show key

    このユーザーの 2 つの鍵が表示されます。

11. /etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert を crypta@sra:server-cert に置き換えます。

12. 高速化する暗号化方式を有効化します。

    Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。

13. /etc/opt/SUNWportal/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。

    gateway.enable.accelerator=true

14. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    ---

    注 –

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。

    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。

    このモードでは、PDC は機能しません。

    ---