Sun™ Crypto Accelerator 4000 板是一個基於乙太網路的十億位元網路介面卡,支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。
除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外,其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。
Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。
有關詳細步驟,請參閱配置 Crypto Accelerator 4000。
請確定已安裝 SRA 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。下列檢核清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。
啟用 Crypto Accelerator 1000 列出 Crypto Accelerator 4000 參數與值。
表 15–2 Crypto Accelerator 4000 安裝檢核清單
參數 |
值 |
---|---|
Portal Server Secure Remote Access 安裝基底目錄 |
/opt |
SRA 實例 |
default |
SRA 憑證資料庫路徑 |
/etc/opt/SUNWportal/cert/default |
SRA 伺服器憑證暱稱 |
server-cert |
CA4000 金鑰庫 |
srap |
CA4000 金鑰庫使用者 |
crypta |
請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式):114795
請確定您有下列工具:certutil、pk12util 與 modutil。
這些工具會安裝在 /usr/sfw/bin 目錄下。
如果在 /usf/sfw/bin 目錄中找不到工具,您需要
從 Sun Java System 發行媒體中手動新增 SUNWtlsu 套裝軟體:
Solaris_[sparc/x86]/Product/shared_components/
初始化此板。
執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。
初始安全官員姓名:sec_officer
金鑰庫名稱:sra-keystore
在 FIPS 140-2 模式下執行:No
建立使用者。
vcaadm{vca0@localhost, sec_officer}> create user
新使用者名稱:crypta
輸入新使用者密碼:
Confirm password:
已成功建立使用者 crypta。
將記號對映至金鑰庫。
vi /opt/SUNWconn/cryptov2/tokens
將 sra-keystore 附加至檔案。
啟用整批資料加密。
touch /opt/SUNWconn/cryptov2/sslreg
載入 Sun Crypto 模組。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
輸入:
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so
您可利用下列指令確認是否已載入此模組:
modutil -list -dbdir /etc/opt/SUNWportal/cert/default
將閘道憑證及金鑰匯出至「Sun Crypto 模組」。
環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/
pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"
您可利用下列指令確認是否已匯出此金鑰:
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default
變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱:
vi /etc/opt/SUNWportal/cert/default/.nickname
將 server-cert 替換為 sra-keystore:server-cert
啟用加速密碼。
從終端機視窗重新啟動閘道:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway |
閘道會提示您輸入金鑰庫密碼。
輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼
閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。
在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。
在此模式下 PDC 將無法運作。