第 15 章 配置安全套接字层加速器
本章说明如何配置 Sun Java System Portal Server Secure Remote Access 的各种加速器。
本章包含以下各节:
加速器简介
外部加速器是专用的硬件协处理器,用于从服务器的 CPU 卸载安全套接字层 (SSL) 功能,借此释放 CPU 空间以使其执行其他任务,同时提高对 SSL 事务的处理速度。
Sun Crypto Accelerator 1000
Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是一种短 PCI 板,用作加密协处理器以加速公共密钥和对称加密。本产品无外部接口。该板通过内部 PCI 总线接口与主机通信。采用此板卡的目的是针对电子商务应用程序中的安全协议,加速各种在计算上较为密集的加密算法。
许多关键的加密功能,如 RSA [7] 和 Triple-DES (3DES) [8],都可从应用程序中卸载到 Sun CA1000 并以并行方式执行。这样便可释放中央处理器空间以执行其他任务,同时提高对 SSL 事务的处理速度。
有关步骤,参见配置 Crypto Accelerator 1000。
启用 Crypto Accelerator 1000
确保已安装了 Portal Server Secure Remote Access,并安装了网关服务器证书(自签名或由任意 CA 所签发)。有关详细信息,参见第 10 章,使用证书。
启用 Crypto Accelerator 1000 是一个清单,有助于您在安装“SSL 加速器”之前熟悉所需信息,并列出了 Crypto Accelerator 1000 的参数和相应值。
表 15–1 Crypto Accelerator 1000 安装清单|
参数 |
值 |
|---|---|
|
SRA 安装基目录 |
/opt |
|
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
|
SRA 服务器证书昵称 |
server-cert |
|
领域 |
sra-keystore |
|
领域用户 |
crypta |
配置 Crypto Accelerator 1000
-
按照用户指南中的说明安装硬件。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
-
安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
110383-01、108528-05、112438-01
-
确保您拥有 pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面。如果在 /usf/sfw/bin 目录中没有这些工具,则需要从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
-
创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
-
创建和设置区域。
-
创建一个用户:
-
以您创建的用户身份登录。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
不存在此用户的密钥。
-
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
-
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
-
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUNWportal/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
-
启用加速密码。
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。
-
修改 /etc/opt/SUNWportal/platform.conf.gateway-profile-nam 以启用加速器:
gateway.enable.accelerator=true
-
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
注 –网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
Sun Crypto Accelerator 4000
Sun™ Crypto Accelerator 4000 板是一种基于千兆以太网的网络接口卡,支持 Sun 服务器上的 IPsec 和 SSL(对称和非对称)加密硬件加速。
除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。
Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。
有关步骤,参见配置 Crypto Accelerator 4000。
启用 Crypto Accelerator 4000
确保已安装了 SRA,并安装了网关服务器证书(自签名或由任意 CA 所签发)。以下核对表将帮助您在安装 SSL 加速器之前熟悉所需的信息。
启用 Crypto Accelerator 1000 列出了 Crypto Accelerator 4000 的参数和相应值。
表 15–2 Crypto Accelerator 4000 安装清单|
参数 |
值 |
|---|---|
|
Portal Server Secure Remote Access 安装基目录 |
/opt |
|
SRA 实例 |
default |
|
SRA 证书数据库路径 |
/etc/opt/SUNWportal/cert/default |
|
SRA 服务器证书昵称 |
server-cert |
|
CA4000 密钥库 |
srap |
|
CA4000 密钥库用户 |
crypta |
配置 Crypto Accelerator 4000
-
按用户指南中的说明安装硬件和软件包。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795
-
确保您拥有 certutil、pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面
如果工具不位于 /usf/sfw/bin 目录中,则需要
从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
-
初始化该板。
运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板并设置以下值:
初始安全主管名:sec_officer
密钥库名称:sra-keystore
以 FIPS 140-2 模式运行:否
-
创建一个用户。
vcaadm{vca0@localhost, sec_officer}> create user
新用户名:crypta
输入新的用户密码:
Confirm password:
已成功创建用户 crypta。
-
将令牌映射到密钥库。
vi /opt/SUNWconn/cryptov2/tokens
然后,将 sra-keystore 追加到文件中。
-
启用整体加密。
touch /opt/SUNWconn/cryptov2/sslreg
-
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可使用以下命令检验是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
-
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
您可使用以下命令检验是否已经导出密钥:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
-
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称:
vi /etc/opt/SUNWportal/cert/default/.nickname
用 sra-keystore:server-cert 替换 server-cert
-
启用加速密码。
-
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
网关会提示您输入密钥库密码。
为 "sra-keystore":crypta:crytpa-password 输入密码或 Pin
注 –网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
外部 SSL 设备和代理加速器
外部 SSL 设备可在开放模式下于 Portal Server Secure Remote Access (SRA) 前端运行。它提供了客户机与 SRA 之间的 SSL 链路。
可执行以下任务:
启用外部 SSL 设备加速器
-
确保已安装了 SRA,并且网关在开放模式(HTTP 模式)下运行。
-
启用 HTTP 连接。
表格列出外部 SSL 设备和代理加速器的参数和值。
参数
值
SRA 实例
default
网关模式
http
网关端口
880
外部设备/代理端口
443
配置外部 SSL 设备加速器
-
按用户指南中的说明安装硬件和软件包。
-
安装必需的修补程序(如果有)。
-
配置网关实例以使用 HTTP。
-
在 platform.conf 文件中输入以下值:
gateway.enable.customurl=true
gateway.enable.accelerator=true
gateway.httpurl=https:// external-device-URL:port-number
-
可以两种方式配置网关通知:
-
当 Access Manager 可在端口 880 联络网关机器时(会话通知采用 HTTP 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.protocol=http
gateway.port=880
-
当 Access Manager 可在端口 443 联络外部设备/代理时(会话通知采用 HTTPS 方式),在 platform.conf 文件中输入值。
vi /etc/opt/SUNWportal/platform.conf.default
gateway.host=External Device/Proxy Host Name
gateway.protocol=https
gateway.port=443
-
-
-
确保 SSL 设备/代理就绪并处于运行状态,而且经过配置以便将通信引向网关端口。
-
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
- © 2010, Oracle Corporation and/or its affiliates