Portal Server Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。詳細については、第 10 章「証明書の操作」を参照してください。
「Crypto Accelerator 1000 の有効化」は、SSL アクセラレータをインストールする前に、必要な情報を確認するためのチェックリストです。このリストには、Crypto Accelerator 1000 のパラメータと値が示されています。
表 15–1 Crypto Accelerator 1000 のインストールチェックリスト
パラメータ |
値 |
---|---|
SRA インストールのベースディレクトリ |
/opt |
SRA の証明書データベースへのパス |
/etc/opt/SUNWportal/cert/default |
SRA サーバー証明書のニックネーム |
server-cert |
レルム |
sra-keystore |
レルムユーザー |
crypta |
ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
CD から次のパッケージをインストールします。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
次のパッチをインストールします。これらのパッチは http://sunsolve.sun.com から入手できます。
110383-01、108528-05、112438-01
pk12util および modutil というツールがインストールされていることを確認します。
これらのツールは /usr/sfw/bin の下にインストールされます。ツールが /usf/sfw/bin ディレクトリにない場合は、Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。
Solaris_[sparc/x86]/Product/shared_components/
スロットファイルを作成します。
vi /etc/opt/SUNWconn/crypto/slots
このファイルの唯一の行として、「crypta@sra」を入力します。
レルムを作成し、設定します。
ユーザーを作成します。
作成したユーザーとしてログインします。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
No keys exist for this user.
Sun Crypto モジュールをロードします。
環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
次のコマンドを実行して、このモジュールがロードされたことを確認します。
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
次に、show key コマンドを実行します。
secadm{crypta@sra}> show key
このユーザーの 2 つの鍵が表示されます。
/etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。
vi /etc/opt/SUNWportal/cert/default/.nickname
server-cert を crypta@sra:server-cert に置き換えます。
高速化する暗号化方式を有効化します。
Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。
/etc/opt/SUNWportal/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。
gateway.enable.accelerator=true
端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。
着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。
このモードでは、PDC は機能しません。