本章说明如何配置 Sun Java System Portal Server Secure Remote Access 的各种加速器。
本章包含以下各节:
外部加速器是专用的硬件协处理器,用于从服务器的 CPU 卸载安全套接字层 (SSL) 功能,借此释放 CPU 空间以使其执行其他任务,同时提高对 SSL 事务的处理速度。
Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一种短 PCI 板,用作加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。
许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。
有关步骤,参见配置 Crypto Accelerator 1000。
确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任意 CA 所签发)。有关详细信息,参见第 10 章,使用证书。
启用 Crypto Accelerator 1000 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息,并列出了 Crypto Accelerator 1000 的参数和相应值。
表 15–1 Crypto Accelerator 1000 安装清单
参数 |
值 |
---|---|
SRA 安装基目录 |
/opt |
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
SRA 服务器证书昵称 |
server-cert |
领域 |
sra-keystore |
领域用户 |
crypta |
按照用户指南中的说明安装硬件。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
110383-01、108528-05、112438-01
确保您拥有 pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面。如果在 /usf/sfw/bin 目录中没有这些工具,则需要从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
创建和设置区域。
创建一个用户:
以您创建的用户身份登录。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
不存在此用户的密钥。
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUNWportal/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
启用加速密码。
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。
修改 /etc/opt/SUNWportal/platform.conf.gateway-profile-nam 以启用加速器:
gateway.enable.accelerator=true
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
Sun™ Crypto Accelerator 4000 板是一种基于千兆以太网的网络接口卡,支持 Sun 服务器上的 IPsec 和 SSL(对称和非对称)加密硬件加速。
除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。
Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。
有关步骤,参见配置 Crypto Accelerator 4000。
确保已安装了 SRA,并安装了网关服务器证书(自签名或由任意 CA 所签发)。以下核对表将帮助您在安装 SSL 加速器之前熟悉所需的信息。
启用 Crypto Accelerator 1000 列出了 Crypto Accelerator 4000 的参数和相应值。
表 15–2 Crypto Accelerator 4000 安装清单
参数 |
值 |
---|---|
Portal Server Secure Remote Access 安装基目录 |
/opt |
SRA 实例 |
default |
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
SRA 服务器证书昵称 |
server-cert |
CA4000 密钥库 |
srap |
CA4000 密钥库用户 |
crypta |
按用户指南中的说明安装硬件和软件包。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
确保您拥有 certutil、pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面
如果工具不位于 /usf/sfw/bin 目录中,则需要
从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
初始化该板。
运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板并设置以下值:
初始安全主管名:sec_officer
密钥库名称:sra-keystore
以 FIPS 140-2 模式运行:否
创建一个用户。
vcaadm{vca0@localhost, sec_officer}> create user
新用户名:crypta
输入新的用户密码:
Confirm password:
已成功创建用户 crypta。
将令牌映射到密钥库。
vi /opt/SUNWconn/cryptov2/tokens
然后,将 sra-keystore 追加到文件中。
启用整体加密。
touch /opt/SUNWconn/cryptov2/sslreg
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可使用以下命令检验是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
您可使用以下命令检验是否已经导出密钥:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称:
vi /etc/opt/SUNWportal/cert/default/.nickname
用 sra-keystore:server-cert 替换 server-cert
启用加速密码。
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
网关会提示您输入密钥库密码。
为 "sra-keystore":crypta:crytpa-password 输入密码或 Pin
网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
外部 SSL 设备可在开放模式下于 Portal Server Secure Remote Access (SRA) 前端运行。它提供了客户机与 SRA 之间的 SSL 链路。
可执行以下任务:
确保已安装了 SRA,并且网关在开放模式(HTTP 模式)下运行。
启用 HTTP 连接。
表格列出外部 SSL 设备和代理加速器的参数和值。
参数 |
值 |
---|---|
SRA 实例 |
default |
网关模式 |
http |
网关端口 |
880 |
外部设备/代理端口 |
443 |
按用户指南中的说明安装硬件和软件包。
安装必需的修补程序(如果有)。
配置网关实例以使用 HTTP。
在 platform.conf 文件中输入以下值:
gateway.enable.customurl=true
gateway.enable.accelerator=true
gateway.httpurl=https:// external-device-URL:port-number
可以两种方式配置网关通知:
当 Access Manager 可在端口 880 联络网关机器时(会话通知采用 HTTP 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.protocol=http
gateway.port=880
当 Access Manager 可在端口 443 联络外部设备/代理时(会话通知采用 HTTPS 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.host=External Device/Proxy Host Name
gateway.protocol=https
gateway.port=443
确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |