Sun Java System Portal Server Secure Remote Access 7.2 관리 설명서

15장 SSL(Secure Socket Layer) 가속기 구성

이 장에서는 다양한 Sun Java System Portal Server Secure Remote Access용 가속기에 대해 설명합니다.

이번 장은 다음 절로 구성됩니다.

가속기 소개

외부 가속기는 서버 CPU의 SSL(Secure Socket Layer) 기능을 분담함으로써 CPU가 다른 작업을 수행하도록 하여 SSL 트랜잭션의 처리 속도를 높이는 전용 하드웨어 코프로세서입니다.

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000(Sun CA1000) 보드는 암호화 코프로세서로 작동하여 공용 키와 대칭 암호화를 가속화하는 짧은 형태의 PCI 보드입니다. 이 제품에는 외부 인터페이스가 없습니다. 이 보드는 내부 PCI 버스 인터페이스를 통해 호스트와 통신합니다. 이 보드는 eCommerce 응용 프로그램에서 보안 프로토콜을 위한 다양한 계산 집약적 암호화 알고리즘을 가속화하기 위한 목적으로 사용됩니다.

RSA [7] 및 Triple-DES (3DES) [8]와 같은 다수의 핵심 암호화 기능을 응용 프로그램에서 Sun CA1000으로 분담시켜 병렬로 수행할 수 있습니다. 그러면 CPU가 자유롭게 다른 작업을 수행할 수 있어 SSL 트랜잭션의 처리 속도가 증가합니다.

자세한 수행 단계는 Crypto Accelerator 1000을 구성하려면을 참조하십시오.

Crypto Accelerator 1000 사용

Portal Server Secure Remote Access가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 자세한 내용은 10 장, 인증서 작업을 참조하십시오.

Crypto Accelerator 1000 사용은 SSL 가속기를 설치하기 전에 필요한 정보를 추적하는 일을 돕는 점검 목록이며 Crypto Accelerator 1000 매개 변수와 값을 나열합니다.

표 15–1 Crypto Accelerator 1000 설치 점검 목록


매개 변수	값
SRA 설치 기본 디렉토리	/opt
SRA 인증서 데이터베이스 경로	/etc/opt/SUNWportal/cert/default
SRA 서버 인증서 별명	server-cert
영역	sra-keystore
영역 사용자	crypta

Crypto Accelerator 1000을 구성하려면

사용 설명서의 지침에 따라 하드웨어를 설치합니다. 다음을 참조하십시오.

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

CD에서 다음 패키지를 설치합니다.

SUNWcrypm, SUNWcrypu, SUNWcrysu, SUNWdcar, SUNWcrypr, SUNWcrysl, SUNWdcamn, SUNWdcav

다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.)

110383-01, 108528-05, 112438-01

pk12util 및 modutil 도구가 있는지 확인하십시오.

이 도구는 /usr/sfw/bin에 설치되어 있습니다. /usf/sfw/bin 디렉토리에서 해당 도구를 사용할 수 없는 경우 Sun Java System 배포 매체에서 수동으로 SUNWtlsu를 추가해야 합니다.

Solaris_[sparc/x86]/Product/shared_components/

슬롯 파일을 만듭니다.

vi /etc/opt/SUNWconn/crypto/slots

그리고 파일의 처음이자 유일한 라인으로 'crypta@sra'를 넣습니다.

영역을 만들고 설정합니다.
1. 루트로 로그인합니다.
2. 다음 명령을 입력합니다.
  
  cd /opt/SUNWconn/bin/secadm
  
  secadm> create realm=sra
  
  영역 sra가 성공적으로 만들어졌습니다.

사용자를 만듭니다.
1. 다음 명령을 입력하고 응답합니다.
  
  secadm> set realm=sra
  
  secadm{srap}> su
  
  secadm{root@sra}> create user=crypta
  
  초기 비밀번호:
  
  비밀번호 확인:
  
  사용자 crypta가 성공적으로 만들어졌습니다.

만든 사용자로 로그인합니다.

secadm{root@sra}> login user=crypta

비밀번호:

secadm{crypta@sra}> show key

이 사용자에게 키가 없습니다.

Sun Crypto 모듈을 로드합니다.

환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

다음 명령을 사용하여 이 모듈이 로드되었는지 확인합니다.

modutil -list -dbdir /etc/opt/SUNWportal/cert /default

게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

이제 show key 명령을 실행합니다.

secadm{crypta@sra}> show key

이 사용자에게 2개의 키가 나타나야 합니다.

/etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.

vi /etc/opt/SUNWportal/cert/default/.nickname

server-cert를 crypta@sra:server-cert로 교체합니다.

가속화용 암호를 활성화합니다.

SUN CA1000은 RSA 기능을 가속화하지만 DES와 3DES 암호에 대한 가속만 지원합니다.

가속기를 사용할 수 있도록 /etc/opt/SUNWportal/platform.conf. gateway-profile-name을 수정합니다.

gateway.enable.accelerator=true

터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
주 –
게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.

들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.

PDC는 이 모드에서 작동하지 않습니다.

Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 보드는 Sun 서버에서 IPsec 및 SSL(대칭 및 비대칭 모두)에 대한 암호화 하드웨어 가속을 지원하는 기가비트 이더넷 기반 네트워크 인터페이스 카드입니다.

암호화되지 않은 네트워크 트래픽을 위한 표준 기가비트 이더넷 네트워크 카드로 작동하는 외에 이 보드에는 암호화 IPsec 트래픽에 높은 처리 속도를 지원할 암호 하드웨어가 포함되어 있습니다.

Crypto Accelerator 4000 보드는 하드웨어와 소프트웨어 모두에서 암호화 알고리즘을 가속화합니다. 암호 DES 및 3DES에 대한 대량 암호화도 지원합니다.

자세한 수행 단계는 Configure Crypto Accelerator 4000을 구성하려면을 참조하십시오.

Crypto Accelerator 4000 사용

SRA가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 다음 점검 목록으로 SSL 가속기를 설치하기 전에 필요한 정보를 쉽게 확인할 수 있습니다.

Crypto Accelerator 1000 사용에는 Crypto Accelerator 4000 매개 변수 및 값이 나와 있습니다.

표 15–2 Crypto Accelerator 4000 설치 점검 목록


매개 변수	값
Portal Server Secure Remote Access 설치 기본 디렉토리	/opt
SRA 인스턴스	default
SRA 인증서 데이터베이스 경로	/etc/opt/SUNWportal/cert/default
SRA 서버 인증서 별명	server-cert
CA4000 키 저장소	srap
CA4000 키 저장소 사용자	crypta

Configure Crypto Accelerator 4000을 구성하려면

사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다. 다음을 참조하십시오.

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.) 114795

certutil, pk12util 및 modutil 도구가 있는지 확인하십시오.

이 도구는 /usr/sfw/bin 아래 설치되어 있습니다.

/usf/sfw/bin 디렉토리에서 도구를 사용할 수 없는 경우에는

Sun Java System 배포 매체에서 수동으로 SUNWtlsu 패키지를 추가해야 합니다.

Solaris_[sparc/x86]/Product/shared_components/

보드를 초기화합니다.

/opt/SUNWconn/bin/vcadm 도구를 실행하여 암호화 보드를 초기화하고 다음 값을 설정합니다.

초기 보안 관리 이름: sec_officer

키 저장소 이름: sra-keystore

FIPS 140-2 모드에서 실행: No

사용자를 만듭니다.

vcaadm{vca0@localhost, sec_officer}> create user

새 사용자 이름: crypta

새 사용자 비밀번호 입력:

비밀번호 확인:

사용자 crypta가 성공적으로 만들어졌습니다.

키 저장소에 토큰을 매핑합니다.

vi /opt/SUNWconn/cryptov2/tokens

그리고 파일에 sra-keystore를 추가합니다.

대량 암호화의 사용을 설정합니다.

touch /opt/SUNWconn/cryptov2/sslreg

Sun Crypto 모듈을 로드합니다.

환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

다음을 입력합니다.

modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

다음 명령을 사용하여 이 모듈이 로드되었는지 확인할 수 있습니다.

modutil -list -dbdir /etc/opt/SUNWportal/cert/default

게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

환경 변수 LD_LIBRARY_PATH는 /usr/lib/mps/secv1/을 가리켜야 합니다.

pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

다음 명령을 사용하여 키가 내보내졌는지 확인할 수 있습니다.

certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

/etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.

vi /etc/opt/SUNWportal/cert/default/.nickname

server-cert를 sra-keystore:server-cert로 교체합니다.

가속화용 암호를 활성화합니다.

터미널 창에서 게이트웨이를 다시 시작합니다.
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
키 저장소 비밀번호를 입력하라는 게이트웨이 프롬프트가 표시됩니다.

"sra-keystore":crypta:crytpa-password에 대한 비밀번호 또는 PIN을 입력합니다.

주 –
게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.

들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.

PDC는 이 모드에서 작동하지 않습니다.

외부 SSL 장치 및 프록시 가속기

열린 모드에서 외부 SSL 장치를 Portal Server Secure Remote Access(SRA) 전방에서 실행할 수 있습니다. 이 장치는 클라이언트와 SRA 사이에 SSL 링크를 제공합니다.

다음 작업을 수행할 수 있습니다.

외부 SSL 장치 가속기를 사용하려면

SRA가 설치되어 있고 게이트웨이가 열린 모드(HTTP 모드)에서 실행되는지 확인합니다.

HTTP 연결을 사용합니다.

다음 표에는 외부 SSL 장치와 프록시 가속기 매개 변수 및 값이 정리되어 있습니다.

매개 변수

값

SRA 인스턴스

default

게이트웨이 모드

http

게이트웨이 포트

880

외부 장치/프록시 포트

443

매개 변수	값
SRA 인스턴스	default
게이트웨이 모드	http
게이트웨이 포트	880
외부 장치/프록시 포트	443

외부 SSL 장치 가속기를 구성하려면

사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다.

해당하는 경우 필요한 패치를 설치합니다.

HTTP를 사용하도록 게이트웨이 인스턴스를 구성합니다.

platform.conf 파일에 다음 값을 입력합니다.

gateway.enable.customurl=true

gateway.enable.accelerator=true

gateway.httpurl=https:// external-device-URL:port-number

두 가지 방법으로 게이트웨이 알림을 구성할 수 있습니다.
- Access Manager가 포트 880에서 게이트웨이 컴퓨터와 접속할 수 있는 경우(HTTP로 세션 알림) platform.conf 파일에 값을 입력합니다.
  
  vi /etc/opt/SUNWportal/platform.conf.default
  
  gateway.protocol=http
  
  gateway.port=880
  - Access Manager가 포트 443에서 외부 장치/프록시와 접속할 수 있는 경우(HTTPS 세션 알림) platform.conf 파일에 값을 입력합니다.
    
    vi /etc/opt/SUNWportal/platform.conf.default
    
    gateway.host=External Device/Proxy Host Name
    
    gateway.protocol=https
    
    gateway.port=443

SSL 장치/프록시가 작동하고 있으며 게이트웨이 포트로 트래픽을 넘기도록 구성되어 있는지 확인합니다.

터미널 창에서 게이트웨이를 다시 시작합니다.

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway