test

Sun Java System Portal Server Secure Remote Access 7.2 관리 설명서

Crypto Accelerator 4000 사용

SRA가 설치되어 있고 게이트웨이 서버 인증서(직접 서명 또는 CA에서 발행)가 설치되었는지 확인합니다. 다음 점검 목록으로 SSL 가속기를 설치하기 전에 필요한 정보를 쉽게 확인할 수 있습니다.

Crypto Accelerator 1000 사용에는 Crypto Accelerator 4000 매개 변수 및 값이 나와 있습니다.

표 15–2 Crypto Accelerator 4000 설치 점검 목록

매개 변수 

값 

Portal Server Secure Remote Access 설치 기본 디렉토리 

/opt 

SRA 인스턴스 

default 

SRA 인증서 데이터베이스 경로 

/etc/opt/SUNWportal/cert/default 

SRA 서버 인증서 별명 

server-cert 

CA4000 키 저장소 

srap 

CA4000 키 저장소 사용자 

crypta 

ProcedureConfigure Crypto Accelerator 4000을 구성하려면

  1. 사용 설명서의 지침에 따라 하드웨어와 소프트웨어 패키지를 설치합니다. 다음을 참조하십시오.

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 다음 패치를 설치합니다. (http://sunsolve.sun.com에서 얻을 수 있습니다.) 114795

  3. certutil, pk12utilmodutil 도구가 있는지 확인하십시오.

    이 도구는 /usr/sfw/bin 아래 설치되어 있습니다.

    /usf/sfw/bin 디렉토리에서 도구를 사용할 수 없는 경우에는

    Sun Java System 배포 매체에서 수동으로 SUNWtlsu 패키지를 추가해야 합니다.

    Solaris_[sparc/x86]/Product/shared_components/

  4. 보드를 초기화합니다.

    /opt/SUNWconn/bin/vcadm 도구를 실행하여 암호화 보드를 초기화하고 다음 값을 설정합니다.

    초기 보안 관리 이름: sec_officer

    키 저장소 이름: sra-keystore

    FIPS 140-2 모드에서 실행: No

  5. 사용자를 만듭니다.

    vcaadm{vca0@localhost, sec_officer}> create user

    새 사용자 이름: crypta

    새 사용자 비밀번호 입력:

    비밀번호 확인:

    사용자 crypta가 성공적으로 만들어졌습니다.

  6. 키 저장소에 토큰을 매핑합니다.

    vi /opt/SUNWconn/cryptov2/tokens

    그리고 파일에 sra-keystore를 추가합니다.

  7. 대량 암호화의 사용을 설정합니다.

    touch /opt/SUNWconn/cryptov2/sslreg

  8. Sun Crypto 모듈을 로드합니다.

    환경 변수 LD_LIBRARY_PATH/usr/lib/mps/secv1/을 가리켜야 합니다.

    다음을 입력합니다.

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    다음 명령을 사용하여 이 모듈이 로드되었는지 확인할 수 있습니다.

    modutil -list -dbdir /etc/opt/SUNWportal/cert/default

  9. 게이트웨이 인증서와 키를 "Sun Crypto Module"로 내보냅니다.

    환경 변수 LD_LIBRARY_PATH/usr/lib/mps/secv1/을 가리켜야 합니다.

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    다음 명령을 사용하여 키가 내보내졌는지 확인할 수 있습니다.

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

  10. /etc/opt/SUNWportal/cert/default/.nickname 파일에서 별명을 변경합니다.

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-certsra-keystore:server-cert로 교체합니다.

  11. 가속화용 암호를 활성화합니다.

  12. 터미널 창에서 게이트웨이를 다시 시작합니다.


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    키 저장소 비밀번호를 입력하라는 게이트웨이 프롬프트가 표시됩니다.

    "sra-keystore":crypta:crytpa-password에 대한 비밀번호 또는 PIN을 입력합니다.

    주 –

    게이트웨이는 게이트웨이 프로필에서 https 포트로 언급된 포트의 일반 ServerSocket(비 SSL)에 바인딩합니다.

    들어오는 클라이언트 트래픽에 대해 SSL 암호화 또는 복호화가 수행되지 않습니다. 가속기에서 이 작업을 수행합니다.

    PDC는 이 모드에서 작동하지 않습니다.