test

Sun Java System Portal Server Secure Remote Access 7.2 관리 설명서

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000(Sun CA1000) 보드는 암호화 코프로세서로 작동하여 공용 키와 대칭 암호화를 가속화하는 짧은 형태의 PCI 보드입니다. 이 제품에는 외부 인터페이스가 없습니다. 이 보드는 내부 PCI 버스 인터페이스를 통해 호스트와 통신합니다. 이 보드는 eCommerce 응용 프로그램에서 보안 프로토콜을 위한 다양한 계산 집약적 암호화 알고리즘을 가속화하기 위한 목적으로 사용됩니다.

RSA [7] 및 Triple-DES (3DES) [8]와 같은 다수의 핵심 암호화 기능을 응용 프로그램에서 Sun CA1000으로 분담시켜 병렬로 수행할 수 있습니다. 그러면 CPU가 자유롭게 다른 작업을 수행할 수 있어 SSL 트랜잭션의 처리 속도가 증가합니다.

자세한 수행 단계는 Crypto Accelerator 1000을 구성하려면을 참조하십시오.

Crypto Accelerator 1000 사용

Portal Server Secure Remote Access가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 자세한 내용은 10 장, 인증서 작업을 참조하십시오.

Crypto Accelerator 1000 사용은 SSL 가속기를 설치하기 전에 필요한 정보를 추적하는 일을 돕는 점검 목록이며 Crypto Accelerator 1000 매개 변수와 값을 나열합니다.

표 15–1 Crypto Accelerator 1000 설치 점검 목록

매개 변수 

값 

SRA 설치 기본 디렉토리 

/opt 

SRA 인증서 데이터베이스 경로 

/etc/opt/SUNWportal/cert/default 

SRA 서버 인증서 별명 

server-cert 

영역 

sra-keystore 

영역 사용자 

crypta 

ProcedureCrypto Accelerator 1000을 구성하려면

  1. 사용 설명서의 지침에 따라 하드웨어를 설치합니다. 다음을 참조하십시오.

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. CD에서 다음 패키지를 설치합니다.

    SUNWcrypm, SUNWcrypu, SUNWcrysu, SUNWdcar, SUNWcrypr, SUNWcrysl, SUNWdcamn, SUNWdcav

  3. 다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.)

    110383-01, 108528-05, 112438-01

  4. pk12utilmodutil 도구가 있는지 확인하십시오.

    이 도구는 /usr/sfw/bin에 설치되어 있습니다. /usf/sfw/bin 디렉토리에서 해당 도구를 사용할 수 없는 경우 Sun Java System 배포 매체에서 수동으로 SUNWtlsu를 추가해야 합니다.

    Solaris_[sparc/x86]/Product/shared_components/

  5. 슬롯 파일을 만듭니다.

    vi /etc/opt/SUNWconn/crypto/slots

    그리고 파일의 처음이자 유일한 라인으로 'crypta@sra'를 넣습니다.

  6. 영역을 만들고 설정합니다.

    1. 루트로 로그인합니다.

    2. 다음 명령을 입력합니다.

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      영역 sra가 성공적으로 만들어졌습니다.

  7. 사용자를 만듭니다.

    1. 다음 명령을 입력하고 응답합니다.

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      초기 비밀번호:

      비밀번호 확인:

      사용자 crypta가 성공적으로 만들어졌습니다.

  8. 만든 사용자로 로그인합니다.

    secadm{root@sra}> login user=crypta

    비밀번호:

    secadm{crypta@sra}> show key

    이 사용자에게 키가 없습니다.

  9. Sun Crypto 모듈을 로드합니다.

    환경 변수 LD_LIBRARY_PATH/usr/lib/mps/secv1/을 가리켜야 합니다.

    다음을 입력합니다.

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    다음 명령을 사용하여 이 모듈이 로드되었는지 확인합니다.

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

    환경 변수 LD_LIBRARY_PATH/usr/lib/mps/secv1/을 가리켜야 합니다.

    다음을 입력합니다.

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    이제 show key 명령을 실행합니다.

    secadm{crypta@sra}> show key

    이 사용자에게 2개의 키가 나타나야 합니다.

  11. /etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-certcrypta@sra:server-cert로 교체합니다.

  12. 가속화용 암호를 활성화합니다.

    SUN CA1000은 RSA 기능을 가속화하지만 DES와 3DES 암호에 대한 가속만 지원합니다.

  13. 가속기를 사용할 수 있도록 /etc/opt/SUNWportal/platform.conf. gateway-profile-name을 수정합니다.

    gateway.enable.accelerator=true

  14. 터미널 창에서 게이트웨이를 다시 시작합니다.


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    주 –

    게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.

    들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.

    PDC는 이 모드에서 작동하지 않습니다.