配置 Crypto Accelerator 1000
-
按照用户指南中的说明安装硬件。参见:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
-
从光盘安装以下软件包。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
-
安装以下修补程序。(您可从 http://sunsolve.sun.com 获取这些程序)
110383-01、108528-05、112438-01
-
确保您拥有 pk12util 和 modutil 工具。
这些工具安装在 /usr/sfw/bin 下面。如果在 /usf/sfw/bin 目录中没有这些工具,则需要从 Sun Java System 分发介质手动添加 SUNWtlsu 软件包:
Solaris_[sparc/x86]/Product/shared_components/
-
创建插槽文件:
vi /etc/opt/SUNWconn/crypto/slots
然后将 "crypta@sra" 作为第一行而且是唯一一行放在文件中。
-
创建和设置区域。
-
创建一个用户:
-
以您创建的用户身份登录。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
不存在此用户的密钥。
-
载入 Sun Crypto 模块。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
使用以下命令验证是否已载入此模块:
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
-
将网关证书和密钥导出到“Sun Crypto 模块”中。
环境变量 LD_LIBRARY_PATH 必须指向 /usr/lib/mps/secv1/
键入:
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
现在,运行显示密钥命令:
secadm{crypta@sra}> show key
应该可以看到此用户的两个密钥。
-
更改 /etc/opt/SUNWportal/cert/default/.nickname 文件中的昵称。
vi /etc/opt/SUNWportal/cert/default/.nickname
用 crypta@sra:server-cert 替换 server-cert
-
启用加速密码。
SUN CA1000 可加速 RSA 功能,但只支持对 DES 和 3DES 密码的加速。
-
修改 /etc/opt/SUNWportal/platform.conf.gateway-profile-nam 以启用加速器:
gateway.enable.accelerator=true
-
从终端窗口重新启动网关:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
注 –网关会绑定到端口(在配置文件中被称为 https 端口)上的一个普通 ServerSocket(非 SSL)。
不对收到的客户机通信进行任何 SSL 加密或解密操作。此操作会由加速器来执行。
PDC 在此模式下不起作用。
- © 2010, Oracle Corporation and/or its affiliates