test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

啟用 Crypto Accelerator 1000

請確定已安裝 Portal Server Secure Remote Access 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。如需詳細資訊,請參閱第 10 章, 使用憑證

啟用 Crypto Accelerator 1000 是一份檢核清單,可協助您在安裝 SSL Accelerator 前追蹤所需資訊,並列出了 Crypto Accelerator 1000 參數與值。

表 15–1 Crypto Accelerator 1000 安裝檢核清單

參數 

值 

SRA 安裝基底目錄 

/opt 

SRA 憑證資料庫路徑 

/etc/opt/SUNWportal/cert/default 

SRA 伺服器憑證暱稱 

server-cert 

範圍 

sra-keystore 

範圍使用者 

crypta 

Procedure配置 Crypto Accelerator 1000

  1. 請遵照使用者指南中的指示安裝硬體。請參閱:

    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

  2. 請從光碟安裝下列套件。

    SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

  3. 安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)

    110383-01、108528-05、112438-01

  4. 請確定您有 pk12util modutil 兩項工具。

    這些工具會安裝於 /usr/sfw/bin 下。如果在 /usf/sfw/bin 目錄中無法找到工具,您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體:

    Solaris_[sparc/x86]/Product/shared_components/

  5. 建立插槽檔案:

    vi /etc/opt/SUNWconn/crypto/slots

    並將 "crypta@sra" 置於檔案中的首位且為唯一的行。

  6. 建立並設定範圍。

    1. 以超級使用者的身份登入。

    2. 鍵入以下指令:

      cd /opt/SUNWconn/bin/secadm

      secadm> create realm=sra

      已成功建立範圍 sra。

  7. 建立使用者:

    1. 鍵入並回應以下指令:

      secadm> set realm=sra

      secadm{srap}> su

      secadm{root@sra}> create user=crypta

      Initial password:

      Confirm password:

      已成功建立使用者 crypta。

  8. 以您建立的使用者登入。

    secadm{root@sra}> login user=crypta

    Password:

    secadm{crypta@sra}> show key

    此使用者無可用的金鑰。

  9. 載入 Sun Crypto 模組。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    請利用下列指令確認是否已載入此模組:

    modutil -list -dbdir /etc/opt/SUNWportal/cert /default

  10. 將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

    環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

    輸入:

    pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    現在請執行顯示金鑰指令:

    secadm{crypta@sra}> show key

    您應可看到此使用者的兩個金鑰。

  11. 變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱。

    vi /etc/opt/SUNWportal/cert/default/.nickname

    server-cert 替換為 crypta@sra:server-cert

  12. 啟用加速密碼。

    SUN CA1000 會加速 RSA 的功能,但僅支援 DES 與 3DES 密碼加速。

  13. 修改 /etc/opt/SUNWportal/platform.conf. gateway-profile-name 以啟用加速器:

    gateway.enable.accelerator=true

  14. 從終端機視窗重新啟動閘道:


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    備註 –

    閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結,此連接埠為閘道設定檔中所提及的 https 連接埠。

    在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

    在此模式下 PDC 將無法運作。