啟用安全 Socket 層的加密硬體
這一節提供啟用安全 Socket 層 (SSL) 加密硬體的相關資訊。 這一節的結尾有相關主題的鏈結。
- 入門
- 在 AIX 作業系統中起始設定 IBM 加密硬體(IBM 4758 和 IBM 電子商業加密加速器
- 在 Linux 作業系統中起始設定 IBM 加密硬體,如 IBM 電子商業加密加速器
- 在 Windows NT 作業系統中起始設定 IBM 記號
- 利用 IKEYMAN 建立 PKCS11 裝置的金鑰
- 配置 IBM HTTP Server 以便使用 nCipher 和 Rainbow 加速器裝置
- 配置 IBM HTTP Server 以便使用 PKCS11 裝置
- 尋找相關資訊
管理加密的金鑰以及將金鑰儲存在加密硬體中,可提供安全線上交易所需要的高安全性架構。 此項功能大大提高了使用 SSL 的 Web 伺服器的效能與安全維護。
在這個範例中,金鑰儲存裝置定義為只能在硬體裝置中見到金鑰的裝置。
下列加密裝置已通過 IBM HTTP Server 的測試:
| 裝置 | 金鑰儲存體? | 加速支援? | 附註 |
| 含 BSAFE 介面模型的 Rainbow Cryptoswift PCI | 否 | 是 | 只搭配 SSLAcceleratorDisable 指引使用。 HP、Solaris 和 Windows NT 作業系統上有支援。 |
| 含 BSAFE 4.0 下之 BHAPI 外掛程式的 nCipher nFast Accelerator | 否 | 純加速器 | 需要有 SCSI 或 PCI 型 nForce 裝置,只和 SSLAcceleratorDisable 指引配合。Solaris 和 Windows NT 作業系統上有支援。 |
| nCipher nForce Accelerator,加速器模式 | 否 | 是 | 使用 BHAPI 和 BSAFE 介面。Solaris 和 Windows NT 作業系統上有支援。 |
| nCipher nForce Accelerator,金鑰儲存加速器模式 | 是 | 是 | 使用 PKCS#11 介面。 需要有 SCSI 或 PCI 型 nForce 單元。 請移到 nCipher nForce Accelerator 第 4.0 版或更新的版本,以取得較好的效能。 AIX、HP、Linux、Solaris 和 Windows NT 作業系統上有支援。 |
| 含 PKCS#11 介面的 IBM 4758 模型 002/023 | 是 | 否 | 使用 PKCS11 介面。AIX 和 Windows NT 作業系統上有支援。 |
下列配接器的支援已通過較新的 WebSphere Application Server 版次的測試:
| 裝置 | 金鑰儲存體? | 加速支援? | 附註 |
| 含 BSAFE 介面模型 CS/200 和 CS/600 的 Rainbow Cryptoswift PCI | 否 | 是 | AIX 作業系統上有支援。 |
| IBM 電子商業加密加速器 | 否 | 是 | 使用 PKCS11 介面。由於這個裝置使用 PKCS11 介面,因此,SSLAcceleratorDisable 指引不適用於這個裝置。 AIX 作業系統上有支援。 |
請利用 Rainbow Cryptoswift、IBM e-business Cryptographic Accelerator、nCipher nFast Accelerator 和 nCipher nForce Accelerator 來操作公開金鑰及進行 RSA 解密。 這些裝置會將金鑰儲存在您的硬碟機中。 加速器裝置會加快 SSL 公開金鑰加密功能的速度,釋放您的伺服器處理器,進而提高伺服器的通訊量,並縮短等待時間。 Rainbow Cryptoswift、IBM 電子商業加密加速器和 nCipher 加速器納入了快速效能,能夠同時進行更多安全交易。
PKCS#11 通訊協定會將 RSA 金鑰儲存在加密硬體中,或利用加密硬體來將金鑰加密,以確定能夠保護。 nCipher nForce Accelerator 可以執行加速動作,也可以執行加速和 PKCS#11 支援的金鑰儲存。 含 PKCS#11 支援的 IBM 4758 和 nCipher nForce Accelerator 可確保外界無法存取金鑰。 這項支援永遠不會以未加密的形式來顯示金鑰,因為金鑰是由硬體來加密或儲存在硬體中。
nCipher nForce Accelerator 第 4.0 版和使用 PKCS11 金鑰儲存體的更新版本有一個無法移除的選項可明顯增進效能。 有關啟用此特性的指示,請聯繫 nCipher Technical Support。
入門
IBM 4758 需要具備主電腦機器和內部韌體的 PKCS11 支援軟體。 您也需要說明軟體安裝和載入卡輔助處理器微碼的手冊。 IBM 4758 卡沒有檢附支援軟體和手冊,但您可以由下列網站下載,網址如下:http://www-3.ibm.com/security/cryptocards/index.shtml。 請從下載網站中,取得 PKCS#11 模型 002/023 軟體和 PKCS#11 安裝手冊。
將支援軟體安裝在機器上並在 IBM 4758 載入微碼之後,請將卡起始設定。
請修改配置檔來配置 IBM HTTP Server,以將 PKCS11 裝置模組、記號標籤、PKCS11 裝置所建立之金鑰的金鑰標籤, 以及記號的使用者 PIN 密碼傳遞給 GSKit,以存取 PKCS11 裝置的金鑰。 每個平台和 PKCS11 裝置都有不同的 PKCS11 模組。 如果是適用於 AIX 和 Windows 作業系統的 IBM 硬體加密裝置(IBM 4758 卡)以及 IBM 電子商業加密加速器, PKCS11 模組檢附於 AIX 的 bos.pkcs11 套件中。
請安裝 IBM 4758 所適用的 devices.pci.14109f00 裝置及 IBM 電子商業加密加速器所適用的 devices.pci.1410e601。 當使用 IBM 電子商業加密加速器時,建議使用 AIX 第 4.3.3 版維護層次 09。
如果是 Windows 中的 IBM 4758,PKCS11 軟體所檢附的 PKCS11 模組可由下列網址下載:http://www.ibm.com/security/cryptocards/html/ordersoftware.shtml。 如果是 nCipher,PKCS11 模組檢附於 nCipher 軟體,在 $NFAST_HOME/toolkits/pkcs11 目錄中。
以下是各 PKCS11 裝置之 PKCS11 模組的預設位置:
- nCipher:
- AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
- HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
- Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
- SUN - /opt/nfast//toolkits/pkcs11/libcknfast.so
- Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758:
- AIX - /usr/lib/pkcs11/PKCS11_API.so
- Windows NT - $PKCS11_HOME\bin\nt\cryptoki.dll
- IBM 電子商業加密加速器:
- AIX - /usr/lib/pkcs11/PKCS11_API.so
在 AIX 作業系統中起始設定 IBM 加密硬體(IBM 4758 和 IBM 電子商業加密加速器)
如果要在 AIX 中起始設定 IBM 加密硬體(IBM 4758 和 IBM 電子商業加密加速器),請取得和安裝 bos.pkcs11 軟體。
請從下載 AIX 修正套件中取得最新的 bos.pkcs11 套件。
請按一下下載 > AIX 修正套件 > 簡式搜尋 > AIX 第 4 版。
這個套件會安裝下面會討論到的 SSLPKCSDriver 指引所需的 PKCS11 模組。
IBM 電子商業加密加速器需要的 devices.pci.1410e601 裝置,以及 IBM 4758 需要 devices.pci.14109f00 和 devices.pci.14109f00。
安裝 PKCS11 軟體之後,請起始設定裝置。 您可以從 Smitty 存取「管理 PKCS11 子系統」畫面來起始設定您的 PKCS11 裝置。 如果要起始設定您的記號:
- 選取起始設定您的記號
- 如果還沒有設定安全管理者和使用者 PIN 的話,請設定它們
- 起始設定您的使用者 PIN。請參閱第 5 章:利用 PKCS11 手冊起始設定記號,以取得詳細資料。
在 Windows 作業系統中起始設定 IBM 記號
如果要在 Windows NT 和 Windows 2000 作業系統中起始設定 IBM 4758 卡, 請從下列網址中取得這些作業系統的 PKCS11 軟體:http://www-3.ibm.com/security/cryptocards/html/ordersoftware.shtml。
您可以利用隨著 PKCS11 軟體而安裝的 TOKUTIL.EXE 公用程式,在 Windows 作業系統中起始設定您的卡。
請參閱第 5 章:從 PKCS11 起始設定記號,以取得詳細資料。
請確定路徑中有 cryptoki.dll 模組。
使用 IKEYMAN 將金鑰儲存在 PKCS11 裝置上
如果要建立 PKCS11 裝置的金鑰,請提供 ikmuser.properties 檔給 IKEYMAN。 要提供這個檔案時:
- 複製 IBM HTTP Server 和 GSKit 所檢附的 ikmuser.sample 檔,這個檔案通常安裝在下列目錄中:
- AIX = /usr/opt/ibm/gskkm/classes
- HP = /opt/ibm/gsk5/classes
- Linux = /usr/local/ibm/gsk5/classes
- Solaris = /opt/ibm/gsk5/classes
- Windows NT = C:\Program Files\ibm\gsk5\classes
如果 ikmuser.properties 檔不在 classes 目錄內,加密記號可能無法運作。
- 編輯 ikmuser.properties 檔,將 DEFAULT_CRYPTOGRAPHIC_MODULE 內容
設定為管理 PKCS11 裝置的模組名稱。例如:
DEFAULT_CRYPTOGRAPHIC_MODULE=C:\pkcs11\bin\NT\cryptoki.dll
- nCipher:
- AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
- HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
- Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
- SUN - /opt/nfast/toolkits/pkcs11/libcknfast.so
- Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758:
- AIX - /usr/lib/pkcs11/PKCS11_API.so
- Windows NT - $PKCS11_HOME\bin\NT\cryptoki.dll
- IBM 電子商業加密加速器:
- AIX - /usr/lib/pkcs11/PKCS11_API.so
通常在安裝 PKCS11 裝置的軟體時,此模組就已經安裝在您的系統上。
- nCipher:
- 儲存 ikmuser.properties 檔
只要 ikmuser.properties 檔是在 classes 目錄內,每當您呼叫 IKEYMAN 時,裝置都會讀取 ikmuser.properties 檔的內容。 當 IKEYMAN 啟動時,在 IBM Key Management 視窗中會有一個額外的功能表項目,稱為加密記號。
- 在您的 IBM Key Management 視窗中,按一下加密記號。
- 按一下開啟。
- 即會顯示「開啟加密記號」視窗。請選取您的加密記號標籤,然後輸入您以配置公用程式起始設定記號時, 所指定的使用者 pin 和密碼。
- 如果要開啟現有的第二個金鑰資料庫,請選取開啟現存的第二個金鑰資料庫檔案,再指定一個檔案名稱和位置。 否則,請移除勾號來停用這個函數。 如果您要建立新的第二個金鑰資料庫檔案,請選取建立新的第二個金鑰資料庫檔案,再指定交談式監視系統 (CMS) 金鑰資料庫檔案、檔案名稱和位置。 否則,請務必清除這個選項旁的勾號。 按一下確定。
- 接下來繼續執行開啟金鑰資料庫後的步驟。 您可以繼續執行相同的步驟來建立自行簽章的憑證,或加入新的數位簽章憑證。 請改用加密記號 >開啟,不要用金鑰資料庫 > 開啟。
如果使用 IBM HTTP Server,您必須要指定執行加密的金鑰檔。
如果您使用 PKCS11 裝置,這個金鑰檔會儲存 PKCS11 裝置所建立您的個人憑證的簽章者憑證。
配置 IBM HTTP Server 以便使用 nCipher 和 Rainbow 加速器裝置
依預設,IBM HTTP Server 會啟用 nCipher 和 Rainbow 加速器裝置。 如果要停用您的加速器裝置,請在您的配置檔中加入這個指引:SSLAcceleratorDisable
配置 IBM HTTP Server 以便使用 PKCS11 裝置
當使用 IBM 電子商業加密加速器或 IBM 4758 時,用來執行 Web 伺服器的使用者 ID 必須是 PKCS11 群組的成員。
您可以安裝 bos.pkcs11 套件或它的更新來建立 PKCS11 群組。
請將配置檔中的 Group 指引改成:group pkcs11。
如果您要 IBM HTTP Server 使用 PKCS11 介面,請配置下列項目:
- 將密碼貯藏在 PKCS11 裝置中:
語法:sslstash [-c] <file> <function> <密碼>
其中:
- -c:建立新貯藏檔。如果沒有指定,就會更新現有的貯藏檔
- file:代表要建立或更新的檔案的完整名稱
- function:代表伺服器使用密碼的函數。 有效值包括 crl 或 crypto
- 密碼: 指出要貯藏的密碼。
- 在配置檔中加入下列指引:
- SSLPKCSDriver <fully qualified name of the PKCS11 driver used to access PKCS11 device>
如需每個 PKCS11 裝置的 PKCS11 模組的預設位置,請參閱 SSLPKCSDriver 指引。
- SSLServerCert <token label:key label of certificate on PKCS11 device>
- SSLStashfile <fully qualified path to the file containing the password for the PKCS11 device>
- Keyfile <fully qualified path to key file with signer certificates>
- SSLPKCSDriver <fully qualified name of the PKCS11 driver used to access PKCS11 device>
| 尋找相關資訊 |
(返回最上面)