Sun Java System Portal Server Secure Remote Access 7.2 管理ガイド

ProcedureCrypto Accelerator 1000 を設定する

  1. ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. CD から次のパッケージをインストールします。

    SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. 次のパッチをインストールします。これらのパッチは http://sunsolve.sun.com から入手できます。

    110383-01、108528-05、112438-01

  4. pk12util および modutil というツールがインストールされていることを確認します。

    これらのツールは /usr/sfw/bin の下にインストールされます。ツールが /usf/sfw/bin ディレクトリにない場合は、Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。

    Solaris_[sparc/x86]/Product/shared_components/

  5. スロットファイルを作成します。

    vi /etc/opt/SUNWconn/crypto/slots

    このファイルの唯一の行として、「crypta@sra」を入力します。

  6. レルムを作成し、設定します。

    1. root としてログインします。

    2. 次のコマンドを入力します。

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      Realm sra created successfully.

  7. ユーザーを作成します。

    1. 次のコマンドを入力し、問い合わせに応答します。

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      User crypta created successfully.

  8. 作成したユーザーとしてログインします。

    secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    No keys exist for this user.

  9. Sun Crypto モジュールをロードします。

    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    次のコマンドを実行して、このモジュールがロードされたことを確認します。

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。

    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    次に、show key コマンドを実行します。

    secadm{crypta@sra}> show key

    このユーザーの 2 つの鍵が表示されます。

  11. /etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-certcrypta@sra:server-cert に置き換えます。

  12. 高速化する暗号化方式を有効化します。

    Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。

  13. /etc/opt/SUNWportal/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。

    gateway.enable.accelerator=true

  14. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    注 –

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。

    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。

    このモードでは、PDC は機能しません。