test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

啟用 Crypto Accelerator 4000

請確定已安裝 SRA 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。下列檢核清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。

啟用 Crypto Accelerator 1000 列出 Crypto Accelerator 4000 參數與值。

表 15–2 Crypto Accelerator 4000 安裝檢核清單

參數 

值 

Portal Server Secure Remote Access 安裝基底目錄 

/opt 

SRA 實例 

default 

SRA 憑證資料庫路徑 

/etc/opt/SUNWportal/cert/default 

SRA 伺服器憑證暱稱 

server-cert 

CA4000 金鑰庫 

srap 

CA4000 金鑰庫使用者 

crypta 

Procedure配置 Crypto Accelerator 4000

  1. 請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式):114795

  3. 請確定您有下列工具:certutil、pk12utilmodutil

    這些工具會安裝在 /usr/sfw/bin 目錄下。

    如果在 /usf/sfw/bin 目錄中找不到工具,您需要

    從 Sun Java System 發行媒體中手動新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  4. 初始化此板。

    執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。

    初始安全官員姓名:sec_officer

    金鑰庫名稱:sra-keystore

    在 FIPS 140-2 模式下執行:No

  5. 建立使用者。

    vcaadm{vca0@localhost, sec_officer}> create user

    新使用者名稱:crypta

    輸入新使用者密碼:

    Confirm password:

    已成功建立使用者 crypta。

  6. 將記號對映至金鑰庫。

    vi /opt/SUNWconn/cryptov2/tokens

    sra-keystore 附加至檔案。

  7. 啟用整批資料加密。

    touch /opt/SUNWconn/cryptov2/sslreg

  8. 載入 Sun Crypto 模組。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    您可利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWportal/cert/default

  9. 將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    您可利用下列指令確認是否已匯出此金鑰:

    certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

  10. 變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱:

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert 替換為 sra-keystore:server-cert

  11. 啟用加速密碼。

  12. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    閘道會提示您輸入金鑰庫密碼。

    輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼

    備註 –

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。