Sun Crypto Accelerator 4000
Sun™ Crypto Accelerator 4000 ボードは、ギガビット Ethernet ベースのネットワークインタフェースカードで、Sun サーバーでの IPsec および SSL (どちらも対象および非対称) の暗号化ハードウェアアクセラレーションをサポートします。
暗号化されていないネットワークトラフィックの標準ギガビットイーサネットネットワークインタフェースカードとして機能するほかに、このボードには、暗号化された IPsec トラフィックのスループット向上をサポートする暗号化ハードウェアも含まれます。
Crypto Accelerator 4000 ボードは、ハードウェアとソフトウェアの両方の暗号化アルゴリズムをアクセラレートします。また、DES および 3DES 暗号化方式の一括暗号化もサポートします。
手順については、「Sun Crypto Accelerator 4000 を設定する」を参照してください。
Sun Crypto Accelerator 4000 の有効化
SRA がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。SSL アクセラレータをインストールする前に、次のチェックリストに基づいて必要な情報を入手してください。
「Crypto Accelerator 1000 の有効化」は、Crypto Accelerator 4000 のパラメータと値を示しています。
表 15–2 Crypto Accelerator 4000 のインストールチェックリスト|
パラメータ |
値 |
|---|---|
|
Portal Server Secure Remote Access インストールのベースディレクトリ |
/opt |
|
SRA インスタンス |
デフォルト |
|
SRA の証明書データベースへのパス |
/etc/opt/SUNWportal/cert/default |
|
SRA サーバー証明書のニックネーム |
server-cert |
|
CA4000 キーストア |
srap |
|
CA4000 キーストアユーザー |
crypta |
Sun Crypto Accelerator 4000 を設定する
-
ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。次の情報を参照してください。
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
次のパッチをインストールします。このパッチは http://sunsolve.sun.com から入手できます。114795
-
certutil、pk12util および modutil というツールがインストールされていることを確認します。
これらのツールは /usr/sfw/bin の下にインストールされます。
ツールが /usf/sfw/bin ディレクトリにない場合は、
Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。
Solaris_[sparc/x86]/Product/shared_components/
-
ボードを初期化します。
/opt/SUNWconn/bin/vcadm ツールを実行して Crypto ボードを初期化し、次の値を設定します。
Initial Security Officer Name: sec_officer
Keystore name: sra-keystore
Run in FIPS 140-2 Mode: No
-
ユーザーを作成します。
vcaadm{vca0@localhost, sec_officer}> create user
New user name: crypta
Enter new user password:
Confirm password:
User crypta created successfully.
-
キーストアにトークンをマッピングします。
vi /opt/SUNWconn/cryptov2/tokens
次に、このファイルに sra-keystore を追加します。
-
一括暗号化を有効にします。
touch /opt/SUNWconn/cryptov2/sslreg
-
Sun Crypto モジュールをロードします。
環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
次のように入力します。
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
次のコマンドを実行することで、このモジュールがロードされたことを確認できます。
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
-
次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
環境変数 LD_LIBRARY_PATH が /usr/lib/mps/secv1/ をポイントする必要があります。
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
次のコマンドを実行することで、鍵がエクスポートされたことを確認できます。
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
-
/etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。
vi /etc/opt/SUNWportal/cert/default/.nickname
server-cert を sra-keystore:server-cert に置き換えます。
-
高速化する暗号化方式を有効化します。
-
端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
ゲートウェイは、キーストアのパスワードを要求します。
"sra-keystore":crypta:crytpa-password のパスワードまたは Pin を入力します。
注 –ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。
着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。
このモードでは、PDC は機能しません。
- © 2010, Oracle Corporation and/or its affiliates