test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。

許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務處理的處理速度。

有關詳細步驟,請參閱配置 Crypto Accelerator 1000

啟用 Crypto Accelerator 1000

請確定已安裝 Portal Server Secure Remote Access 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。如需詳細資訊,請參閱第 10 章, 使用憑證

啟用 Crypto Accelerator 1000 是一份檢核清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊,並列出了 Crypto Accelerator 1000 參數與值。

表 15–1 Crypto Accelerator 1000 安裝檢核清單

參數 

值 

SRA 安裝基底目錄 

/opt 

SRA 憑證資料庫路徑 

/etc/opt/SUNWportal/cert/default 

SRA 伺服器憑證暱稱 

server-cert 

範圍 

sra-keystore 

範圍使用者 

crypta 

Procedure配置 Crypto Accelerator 1000

  1. 請遵照使用者指南中的指示安裝硬體。請參閱:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 請從光碟安裝下列套件。

    SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)

    110383-01、108528-05、112438-01

  4. 請確定您有 pk12util modutil 兩項工具。

    這些工具會安裝於 /usr/sfw/bin 下。如果在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  5. 建立插槽檔案:

    vi /etc/opt/SUNWconn/crypto/slots

    並將 "crypta@sra" 置於檔案中的首位且為唯一的行。

  6. 建立並設定範圍。

    1. 以超級使用者的身份登入。

    2. 鍵入以下指令:

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功建立範圍 sra。

  7. 建立使用者:

    1. 鍵入並回應以下指令:

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      已成功建立使用者 crypta。

  8. 以您建立的使用者登入。

    secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    此使用者無可用的金鑰。

  9. 載入 Sun Crypto 模組。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    請利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    現在請執行顯示金鑰指令:

    secadm{crypta@sra}> show key

    您應可看到此使用者的兩個金鑰。

  11. 變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert 替換為 crypta@sra:server-cert

  12. 啟用加速密碼。

    SUN CA1000 會加速 RSA 的功能,但僅支援 DES 與 3DES 密碼加速。

  13. 修改 /etc/opt/SUNWportal/platform.conf. gateway-profile-name 以啟用加速器:

    gateway.enable.accelerator=true

  14. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    備註 –

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。