test

Sun Java System Portal Server Secure Remote Access 7.2 管理ガイド

ProcedureSun Crypto Accelerator 4000 を設定する

  1. ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。次の情報を参照してください。

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 次のパッチをインストールします。このパッチは http://sunsolve.sun.com から入手できます。114795

  3. certutil、pk12util および modutil というツールがインストールされていることを確認します。

    これらのツールは /usr/sfw/bin の下にインストールされます。

    ツールが /usf/sfw/bin ディレクトリにない場合は、

    Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。

    Solaris_[sparc/x86]/Product/shared_components/

  4. ボードを初期化します。

    /opt/SUNWconn/bin/vcadm ツールを実行して Crypto ボードを初期化し、次の値を設定します。

    Initial Security Officer Name: sec_officer

    Keystore name: sra-keystore

    Run in FIPS 140-2 Mode: No

  5. ユーザーを作成します。

    vcaadm{vca0@localhost, sec_officer}> create user

    New user name: crypta

    Enter new user password:

    Confirm password:

    User crypta created successfully.

  6. キーストアにトークンをマッピングします。

    vi /opt/SUNWconn/cryptov2/tokens

    次に、このファイルに sra-keystore を追加します。

  7. 一括暗号化を有効にします。

    touch /opt/SUNWconn/cryptov2/sslreg

  8. Sun Crypto モジュールをロードします。

    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    次のように入力します。

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    次のコマンドを実行することで、このモジュールがロードされたことを確認できます。

    modutil -list -dbdir /etc/opt/SUNWportal/cert/default

  9. 次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。

    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    次のコマンドを実行することで、鍵がエクスポートされたことを確認できます。

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

  10. /etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-certsra-keystore:server-cert に置き換えます。

  11. 高速化する暗号化方式を有効化します。

  12. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    ゲートウェイは、キーストアのパスワードを要求します。

    "sra-keystore":crypta:crytpa-password のパスワードまたは Pin を入力します。

    注 –

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。

    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。

    このモードでは、PDC は機能しません。