test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一种短 PCI 板,用作加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。

许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。

有关步骤,参见配置 Crypto Accelerator 1000

启用 Crypto Accelerator 1000

确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任意 CA 所签发)。有关详细信息,参见第 10 章,使用证书

启用 Crypto Accelerator 1000 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息,并列出了 Crypto Accelerator 1000 的参数和相应值。

表 15–1 Crypto Accelerator 1000 安装清单

参数 

值 

SRA 安装基目录 

/opt 

SRA 证书数据库路径 

/etc/opt/SUNWportal/cert/default 

SRA 服务器证书昵称 

server-cert 

领域 

sra-keystore 

领域用户 

crypta 

Procedure配置 Crypto Accelerator 1000

  1. 按照用户指南中的说明安装硬件。参见:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 从光盘安装以下软件包。

    SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. 安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)

    110383-01、108528-05、112438-01

  4. 确保您拥有 pk12utilmodutil 工具。

    这些工具安装在 /usr/sfw/bin 下面。如果在 /usf/sfw/bin 目录中没有这些工具,则需要从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:

    Solaris_[sparc/x86]/Product/shared_components/

  5. 创建插槽文件:

    vi /etc/opt/SUNWconn/crypto/slots

    然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。

  6. 创建和设置区域。

    1. 以根用户身份登录。

    2. 键入以下命令:

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功创建区域 sra。

  7. 创建一个用户:

    1. 键入并回应以下命令:

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      已成功创建用户 crypta。

  8. 以您创建的用户身份登录。

    secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    不存在此用户的密钥。

  9. 载入 Sun Crypto 模块。

    环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    键入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    使用以下命令验证是否已载入此模块:

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 将网关证书和密钥导出到“Sun Crypto 模块”中。

    环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    键入:

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    现在,运行显示密钥命令:

    secadm{crypta@sra}> show key

    应该可以看到此用户的两个密钥。

  11. 更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    crypta@sra:server-cert 替换 server-cert

  12. 启用加速密码。

    SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。

  13. 修改 /etc/opt/SUNWportal/platform.conf.gateway-profile-nam 以启用加速器:

    gateway.enable.accelerator=true

  14. 从终端窗口重新启动网关:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    注 –

    网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。

    不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。

    PDC 在此模式下不起作用。