test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

第 15 章 配置安全套接層加速器

本章說明如何配置 Sun Java System Portal Server Secure Remote Access 的各種加速器。

本章包含下列章節:

加速器簡介

外部加速器為專用的輔助處理器,可完全卸載伺服器中央處理器的安全套接層 (Secure Socket Layer, SSL) 運算資源,從而釋出中央處理器以執行其他工作,並提高 SSL 事務處理的處理速度。

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。

許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務處理的處理速度。

有關詳細步驟,請參閱配置 Crypto Accelerator 1000

啟用 Crypto Accelerator 1000

請確定已安裝 Portal Server Secure Remote Access 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。如需詳細資訊,請參閱第 10 章, 使用憑證

啟用 Crypto Accelerator 1000 是一份檢核清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊,並列出了 Crypto Accelerator 1000 參數與值。

表 15–1 Crypto Accelerator 1000 安裝檢核清單

參數 

值 

SRA 安裝基底目錄 

/opt 

SRA 憑證資料庫路徑 

/etc/opt/SUNWportal/cert/default 

SRA 伺服器憑證暱稱 

server-cert 

範圍 

sra-keystore 

範圍使用者 

crypta 

Procedure配置 Crypto Accelerator 1000

  1. 請遵照使用者指南中的指示安裝硬體。請參閱:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 請從光碟安裝下列套件。

    SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)

    110383-01、108528-05、112438-01

  4. 請確定您有 pk12util modutil 兩項工具。

    這些工具會安裝於 /usr/sfw/bin 下。如果在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  5. 建立插槽檔案:

    vi /etc/opt/SUNWconn/crypto/slots

    並將 "crypta@sra" 置於檔案中的首位且為唯一的行。

  6. 建立並設定範圍。

    1. 以超級使用者的身份登入。

    2. 鍵入以下指令:

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功建立範圍 sra。

  7. 建立使用者:

    1. 鍵入並回應以下指令:

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      已成功建立使用者 crypta。

  8. 以您建立的使用者登入。

    secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    此使用者無可用的金鑰。

  9. 載入 Sun Crypto 模組。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    請利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    現在請執行顯示金鑰指令:

    secadm{crypta@sra}> show key

    您應可看到此使用者的兩個金鑰。

  11. 變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert 替換為 crypta@sra:server-cert

  12. 啟用加速密碼。

    SUN CA1000 會加速 RSA 的功能,但僅支援 DES 與 3DES 密碼加速。

  13. 修改 /etc/opt/SUNWportal/platform.conf. gateway-profile-name 以啟用加速器:

    gateway.enable.accelerator=true

  14. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    備註 –

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。

Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 板是一個基於乙太網路的十億位元網路介面卡,支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。

除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外,其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。

Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。

有關詳細步驟,請參閱配置 Crypto Accelerator 4000

啟用 Crypto Accelerator 4000

請確定已安裝 SRA 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。下列檢核清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。

啟用 Crypto Accelerator 1000 列出 Crypto Accelerator 4000 參數與值。

表 15–2 Crypto Accelerator 4000 安裝檢核清單

參數 

值 

Portal Server Secure Remote Access 安裝基底目錄 

/opt 

SRA 實例 

default 

SRA 憑證資料庫路徑 

/etc/opt/SUNWportal/cert/default 

SRA 伺服器憑證暱稱 

server-cert 

CA4000 金鑰庫 

srap 

CA4000 金鑰庫使用者 

crypta 

Procedure配置 Crypto Accelerator 4000

  1. 請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式):114795

  3. 請確定您有下列工具:certutil、pk12utilmodutil

    這些工具會安裝在 /usr/sfw/bin 目錄下。

    如果在 /usf/sfw/bin 目錄中找不到工具,您需要

    從 Sun Java System 發行媒體中手動新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  4. 初始化此板。

    執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。

    初始安全官員姓名:sec_officer

    金鑰庫名稱:sra-keystore

    在 FIPS 140-2 模式下執行:No

  5. 建立使用者。

    vcaadm{vca0@localhost, sec_officer}> create user

    新使用者名稱:crypta

    輸入新使用者密碼:

    Confirm password:

    已成功建立使用者 crypta。

  6. 將記號對映至金鑰庫。

    vi /opt/SUNWconn/cryptov2/tokens

    sra-keystore 附加至檔案。

  7. 啟用整批資料加密。

    touch /opt/SUNWconn/cryptov2/sslreg

  8. 載入 Sun Crypto 模組。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    您可利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWportal/cert/default

  9. 將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    您可利用下列指令確認是否已匯出此金鑰:

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

  10. 變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱:

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert 替換為 sra-keystore:server-cert

  11. 啟用加速密碼。

  12. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    閘道會提示您輸入金鑰庫密碼。

    輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼

    備註 –

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。

外部 SSL 裝置與代理伺服器加速器

在開放模式下,外部 SSL 裝置可在 Portal Server Secure Remote Access (SRA) 之前執行。其提供用戶端與 SRA 之間的 SSL 連結。

可執行下列作業:

Procedure啟用外部 SSL 裝置加速器

  1. 請確定已安裝 SRA,且已有閘道在開放模式 (HTTP 模式) 下執行。

  2. 啟用 HTTP 連線。

    下表列出外部 SSL 裝置與代理伺服器加速器的參數與值。

    參數 

    值 

    SRA 實例 

    default 

    閘道模式 

    http 

    閘道連接埠 

    880 

    外部裝置/代理伺服器連接埠 

    443 

Procedure配置外部 SSL 裝置加速器

  1. 請遵照使用者指南中的指示安裝硬體與軟體套件。

  2. 請安裝必需安裝的修補程式 (若有)。

  3. 配置閘道實例以使用 HTTP。

  4. 請在 platform.conf 檔案中輸入下列值:

    gateway.enable.customurl=true

    gateway.enable.accelerator=true

    gateway.httpurl=https:// external-device-URL:port-number

  5. 有兩種方式可配置閘道通知:

    • 當 Access Manager 可於 880 連接埠聯繫閘道機器時 (階段作業通知將會使用 HTTP 方式),請在 platform.conf 檔案中輸入值。

      vi /etc/opt/SUNWportal/platform.conf.default

      gateway.protocol=http

      gateway.port=880

      • 當 Access Manager 可於 443 連接埠聯繫外部裝置/代理伺服器時 (階段作業通知將會使用 HTTPS 方式),請在 platform.conf 檔案中輸入值。

        vi /etc/opt/SUNWportal/platform.conf.default

        gateway.host=External Device/Proxy Host Name

        gateway.protocol=https

        gateway.port=443

  6. 請確定已開啟並執行 SSL 裝置/代理伺服器,且已配置為將通訊流量導向閘道連接埠。

  7. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway