test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 板是一种基于千兆以太网的网络接口卡,支持 Sun 服务器上的 IPsec 和 SSL(对称和非对称)加密硬件加速。

除了作为用于未加密网络通信的标准千兆以太网网卡之外,该板还包含加密硬件以支持加密 IPsec 通信实现更高的通过量。

Crypto Accelerator 4000 板可同时在硬件和软件上加速加密算法。它也支持密码 DES 和 3DES 的整体加密。

有关步骤,参见配置 Crypto Accelerator 4000

启用 Crypto Accelerator 4000

确保已安装了 SRA,并安装了网关服务器证书(自签名或由任意 CA 所签发)。以下核对表将帮助您在安装 SSL 加速器之前熟悉所需的信息。

启用 Crypto Accelerator 1000 列出了 Crypto Accelerator 4000 的参数和相应值。

表 15–2 Crypto Accelerator 4000 安装清单

参数 

值 

Portal Server Secure Remote Access 安装基目录 

/opt 

SRA 实例 

default 

SRA 证书数据库路径 

/etc/opt/SUNWportal/cert/default 

SRA 服务器证书昵称 

server-cert 

CA4000 密钥库 

srap 

CA4000 密钥库用户 

crypta 

Procedure配置 Crypto Accelerator 4000

  1. 按用户指南中的说明安装硬件和软件包。参见:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 安装以下修补程序。(您可从 http://sunsolve.sun.com 处获取这些程序):114795

  3. 确保您拥有 certutil、pk12utilmodutil 工具。

    这些工具安装在 /usr/sfw/bin 下面

    如果工具不位于 /usf/sfw/bin 目录中,则需要

    从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:

    Solaris_[sparc/x86]/Product/shared_components/

  4. 初始化该板。

    运行 /opt/SUNWconn/bin/vcadm 工具初始化密码板并设置以下值:

    初始安全主管名:sec_officer

    密钥库名称:sra-keystore

    以 FIPS 140-2 模式运行:

  5. 创建一个用户。

    vcaadm{vca0@localhost, sec_officer}> create user

    新用户名:crypta

    输入新的用户密码:

    Confirm password:

    已成功创建用户 crypta。

  6. 将令牌映射到密钥库。

    vi /opt/SUNWconn/cryptov2/tokens

    然后,将 sra-keystore 追加到文件中。

  7. 启用整体加密。

    touch /opt/SUNWconn/cryptov2/sslreg

  8. 载入 Sun Crypto 模块。

    环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    键入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    您可使用以下命令检验是否已载入此模块:

    modutil -list -dbdir /etc/opt/SUNWportal/cert/default

  9. 将网关证书和密钥导出到“Sun Crypto 模块”中。

    环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    您可使用以下命令检验是否已经导出密钥:

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

  10. 更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称:

    vi /etc/opt/SUNWportal/cert/default/.nickname

    sra-keystore:server-cert 替换 server-cert

  11. 启用加速密码。

  12. 从终端窗口重新启动网关:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    网关会提示您输入密钥库密码。

    "sra-keystore":crypta:crytpa-password 输入密码或 Pin

    注 –

    网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。

    不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。

    PDC 在此模式下不起作用。