Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板,作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。
許多重要的加密運算功能,如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000,並以平行的方式執行。如此可釋出中央處理器以執行其他工作,提高 SSL 事務處理的處理速度。
有關詳細步驟,請參閱配置 Crypto Accelerator 1000。
請確定已安裝 Portal Server Secure Remote Access 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。如需詳細資訊,請參閱第 10 章, 使用憑證。
啟用 Crypto Accelerator 1000 是一份檢核清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊,並列出了 Crypto Accelerator 1000 參數與值。
表 15–1 Crypto Accelerator 1000 安裝檢核清單
參數 |
值 |
---|---|
SRA 安裝基底目錄 |
/opt |
SRA 憑證資料庫路徑 |
/etc/opt/SUNWportal/cert/default |
SRA 伺服器憑證暱稱 |
server-cert |
範圍 |
sra-keystore |
範圍使用者 |
crypta |
請遵照使用者指南中的指示安裝硬體。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
請從光碟安裝下列套件。
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav
安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)
110383-01、108528-05、112438-01
請確定您有 pk12util 和 modutil 兩項工具。
這些工具會安裝於 /usr/sfw/bin 下。如果在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體:
Solaris_[sparc/x86]/Product/shared_components/
建立插槽檔案:
vi /etc/opt/SUNWconn/crypto/slots
並將 "crypta@sra" 置於檔案中的首位且為唯一的行。
建立並設定範圍。
建立使用者:
以您建立的使用者登入。
secadm{root@sra}> login user=crypta
Password:
secadm{crypta@sra}> show key
此使用者無可用的金鑰。
載入 Sun Crypto 模組。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so
請利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWportal/cert /default
將閘道憑證及金鑰匯出至「Sun Crypto 模組」。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"
現在請執行顯示金鑰指令:
secadm{crypta@sra}> show key
您應可看到此使用者的兩個金鑰。
變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱。
vi /etc/opt/SUNWportal/cert/default/.nickname
將 server-cert 替換為 crypta@sra:server-cert
啟用加速密碼。
SUN CA1000 會加速 RSA 的功能,但僅支援 DES 與 3DES 密碼加速。
修改 /etc/opt/SUNWportal/platform.conf. gateway-profile-name 以啟用加速器:
gateway.enable.accelerator=true
從終端機視窗重新啟動閘道:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。
在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。
在此模式下 PDC 將無法運作。