Page 1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 Version 1.1 de Sun ™ Sun Microsystems, Inc. www.sun.com Référence n° 817-5924-10 Janvier 2004, révision A Faites-nous part de vos commentaires concernant ce document à l'adresse : http://www.sun.com/hwdocs/feedback...
Page 2 Sun, Sun Microsystems, le logo Sun, Java, SunVTS, AnswerBook2, docs.sun.com, Sun ONE, Sun Enterprise, Sun Enterprise Volume Manager, Sun Fire, SunSolve, Netra et Solaris sont des marques commerciales ou déposées ou des marques de service de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays.
Page 3 Déclaration de conformité (Fiber MMF) Numéro de conformité du modèle : Venus-FI Nom du produit : Crypto Accelerator 4000 de Sun - Fiber (X4012A) Compatibilité électromagnétique États-Unis, FCC (Federal Communications Commission), Classe B Ce matériel est conforme aux exigences de la partie 15 des règlements de la FCC. L'utilisation de l'installation est assujettie aux deux conditions suivantes : 1) Ce matériel ne doit pas provoquer d'interférence nocive.
Page 4 : 1) Ce matériel ne doit pas provoquer d'interférence nocive. 2) Ce matériel doit accepter toute interférence pouvant provoquer un fonctionnement indésirable. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 5 Union européenne Ce matériel est conforme aux conditions suivantes de la directive 89/336/EEC (compatibilité électromagnétique) : en tant que matériel pour les réseaux de télécommunications dans les centres de télécommunications et autres (selon les cas) : EN300-386 V.1.3.1 (09-2001) Limites requises : EN55022/CISPR22 Classe B EN61000-3-2...
Page 6 Tél : +1 650-786-3255 Écosse, Royaume-Uni Fax : +1 650-786-3723 Tél : +44 1 506 672 395 Fax : +44 1 506 672 855 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 7 FCC radio frequency emission limits. Networking connections can be made using unshielded twisted-pair (UTP) cables. Modifications: Any modifications made to this device that are not approved by Sun Microsystems, Inc. may void the authority granted to the user by the FCC to operate this equipment.
Page 8 This Class B digital apparatus complies with Canadian ICES-003. Cet appareil numérique de la classe B est conforme à la norme NMB-003 du Canada. viii Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 9 BSMI Class A Notice The following statement is applicable to products shipped to Taiwan and marked as Class A on the product compliance label.
Page 10 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 11: Table Des Matières
Prise en charge de diagnostic 3 Accélération de l'algorithme cryptographique 4 Algorithmes cryptographiques pris en charge 4 Accélération IPsec 5 Accélération SSL 6 Chiffrement de masse 6 Présentation du matériel 7 Crypto Accelerator 4000 de Sun Adaptateur MMF 7 Écrans à cristaux liquides 8...
Page 12 Valeurs et définitions des paramètres du pilote 26 Communication des paramètres de liaison 28 Paramètres de contrôle de flux 29 Paramètre du mode forcé en gigabit 30 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 13 Paramètres d'intervalles entre paquets 31 Paramètres d'interruption 32 Paramètres de perte précoce aléatoire 33 Paramètres de l'interface bus PCI 34 Définition des paramètres du pilote vca 35 Définition des paramètres à l'aide de l'utilitaire ndd 35 Pour spécifier des instances de périphérique pour l'utilitaire ndd 36 Modes non-interactif et interactif 36 Définition de l'auto-négociation ou du mode forcé...
Page 14 Remplissage d'un stockage de clés avec des responsables de la sécurité 79 Remplissage d'un stockage de clés avec des utilisateurs 79 Liste des utilisateurs et des responsables de la sécurité 80 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 15 Modification des mots de passe 81 Activation ou désactivation des utilisateurs 81 Suppression des utilisateurs 82 Suppression des responsables de la sécurité 82 Sauvegarde de la clé principale 83 Verrouillage du stockage de clés pour empêcher les sauvegardes 83 Gestion des cartes avec vcaadm 84 Définition du délai de déconnexion automatique 84 Affichage de l'état de la carte 85 Chargement d'un nouveau microprogramme 86...
Page 16 Configuration des serveurs Web Sun ONE pour un redémarrage sans intervention de l'utilisateur 120 Pour créer une clé chiffrée pour un démarrage automatique des serveurs Web Sun ONE au redémarrage 120 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 17 Installation et configuration d'un serveur Web Sun ONE 4.1 121 Pour installer le serveur Web Sun ONE 4.1 121 Configuration d'un serveur Web Sun ONE 4.1 122 Pour créer une base de données certifiée 122 Pour enregistrer la carte avec le serveur web 123 Pour créer un certificat de serveur 125 Pour installer le certificat de serveur 128 Pour activer le serveur Web pour SSL 130...
Page 18 Pour créer un certificat de serveur 170 Pour installer le certificat de serveur 175 Pour activer le serveur de messagerie pour SSL 180 xviii Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 19 Installation et configuration d'un serveur Sun ONE Portal Server 6.2 181 Installation de Sun ONE Portal Server 6.2 182 Pour installer Sun ONE Portal Server 6.2 182 Configuration de Sun ONE Portal Server 6.2 183 Pour enregistrer la carte avec le serveur de portail 183 Création et installation d'un certificat de serveur 184 Pour créer un certificat de serveur 184 Pour installer le certificat de serveur 185...
Page 20 Dépannage de la Carte Crypto Accelerator 4000 de Sun 216 show-devs 216 .properties 217 watch-net 218 Interface PKCS#11 219 Informations générales 219 Administration de la carte pour l'utilisation de PKCS#11 221 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 21 PKCS#11 et mode FIPS 223 Accélération matérielle et clés sensibles 224 Développement d'applications pour l'utilisation de PKCS#11 226 Spécifications 233 Adaptateur MMF Crypto Accelerator 4000 de Sun 233 Connecteurs 233 Dimensions physiques 235 Spécifications de performances 235 Alimentation requise 235 Spécifications de l'interface 236...
Page 22 Restauration de l'état par défaut du matériel Crypto Accelerator 4000 de Sun 270 Pour remettre à zéro la Carte Crypto Accelerator 4000 de Sun avec le cavalier matériel 270 Index 273 xxii Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 23 TABLEAU 1-8 Correctifs Solaris 9 requis 14 TABLEAU 1-9 Fichiers du répertoire /cdrom/cdrom0 19 TABLEAU 2-1 Répertoires Crypto Accelerator 4000 de Sun 22 TABLEAU 2-2 Paramètres, statuts et descriptions du pilote vca 26 TABLEAU 3-1 Paramètres des modes de fonctionnement 28 TABLEAU 3-2 Descriptions des mots-clés de contrôle de flux en lecture-écriture 29...
Page 24 Champs du certificat à installer 152 TABLEAU 5-7 Différences des variables de chemins pour les versions 32 bits et 64 bits TABLEAU 5-8 xxiv Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 25 Spécifications de l'interface 239 TABLEAU A-11 Spécifications environnementales 239 TABLEAU A-12 Fichiers du répertoire /cdrom/cdrom0 242 TABLEAU B-1 Répertoires Crypto Accelerator 4000 de Sun 244 TABLEAU B-2 Protocoles SSL 249 TABLEAU C-1 Chiffrements SSL disponibles 250 TABLEAU C-2 Alias SSL 251 TABLEAU C-3 Caractères spéciaux pour la configuration des préférences de chiffrement 252...
Page 26 TABLEAU C-6 Options SSL disponibles 255 TABLEAU C-7 Pages du manuel en ligne de Crypto Accelerator 4000 de Sun 267 TABLEAU F-1 xxvi Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 27: Préface
Préface Le Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 répertorie les fonctions, protocoles et interfaces de la carte Crypto Accelerator 4000 de Sun et décrit les procédures d'installation, de configuration et de gestion de la carte sur votre système.
Page 28 Documentation en ligne relative à l'environnement d'exploitation Solaris, disponible à l'adresse http://docs.sun.com Toute autre documentation sur les logiciels livrée avec votre système xxviii Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 29 Invites Shell Shell Invite C shell nom-machine% C shell superutilisateur nom-machine# Bourne shell et Korn shell Bourne shell et Korn shell superutilisateur Conventions typographiques Police Description Exemples Noms de commandes, fichiers Modifiez votre fichier .login. AaBbCc123 et répertoires. Messages Utilisez ls -a pour afficher la liste de apparaissant à...
Page 30 : Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1, numéro de référence 817-5924-10 xxx Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 31: Présentation Du Produit
C H A P I T R E Présentation du produit Ce chapitre présente la carte Crypto Accelerator 4000 de Sun et comprend les sections suivantes : « Caractéristiques du produit », page 1 « Présentation du matériel », page 7 «...
Page 32: Protocoles Et Interfaces Clés
Les cartes Crypto Accelerator 4000 de Sun sont conformes aux normes de sécurité pour les modules cryptographiques, conformément aux directives de la norme FIPS (Federal Information Processing Standard) 140-2, niveau 3. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 33: Applications Prises En Charge
Applications prises en charge Environnements d'exploitation Solaris 8 et 9 (IPsec VPN) Sun ONE Web Server Web Sun One 4.1 et 6.0 Sun ONE Application Server 7.0 Sun ONE Directory Server 5.2 Sun ONE Messaging Server 5.2 Sun ONE Portal Server 6.2 Serveurs Web Apache 1.3.x et 2.x Protocoles cryptographiques pris en charge La carte prend en charge les protocoles suivants :...
Page 34: Accélération De L'algorithme Cryptographique
TABLEAU 1-2 Type Algorithme Symétrique DES, 3DES, ARCFOUR Asymétrique Diffie-Hellman (Apache uniquement) et RSA (clé jusqu'à 2 048 bits), Hachage MD5, SHA1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 35: Accélération Ipsec
Remarque – Aucune configuration ni aucun paramétrage IPsec ne sont requis pour utiliser l'accélération IPsec hors bande avec Solaris 9. Il vous suffit d'installer les progiciels Crypto Accelerator 4000 de Sun et de redémarrer l'ordinateur. Accélération matérielle IPsec en ligne Lorsque la carte est configurée pour l'accélération IPsec en ligne, les opérations de...
Page 36: Accélération Ssl
La fonction de chiffrement de masse du logiciel du serveur Web Apache est activée par défaut et ne peut pas être désactivée. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 37: Présentation Du Matériel
IPsec et SSL sur les serveurs Sun. Crypto Accelerator 4000 de Sun Adaptateur MMF L'adaptateur MMF Crypto Accelerator 4000 de Sun est une carte bus PCI à fibres optiques Gigabit Ethernet à port unique. Il fonctionne uniquement sur les réseaux Ethernet 1 000 Mbits/s.
Page 38: Écrans À Cristaux Liquides
Allumé lors d'un fonctionnement en mode Vert certifié FIPS 140-2 niveau 3. Éteint en mode autre que FIPS. LINK Allumé lorsque la liaison est établie. Vert Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 39: Crypto Accelerator 4000 De Sun Adaptateur Utp
Crypto Accelerator 4000 de Sun Adaptateur UTP L'adaptateur UTP Crypto Accelerator 4000 de Sun est une carte bus PCI en alliage cuivre Gigabit Ethernet à port unique. Il peut être configuré pour fonctionner sur des réseaux Ethernet 10, 100 ou 1 000 Mbits/s.
Page 40: Écrans À Cristaux Liquides
Remarque – Le numéro du service pack (SP9 ou SP1) est indiqué chaque fois que le serveur Web Sun ONE 4.1 ou 6.0 est mentionné. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 41: Dynamic Reconfiguration Et High Availability
Partage de charge Le logiciel Crypto Accelerator 4000 de Sun répartit la charge sur toutes les cartes installées sur le domaine ou le système Solaris. Les requêtes cryptographiques entrantes sont réparties selon des files d'attente de longueur fixe.
Page 42: Conditions Logicielles Et Matérielles Requises
Si le correctif dont vous avez besoin n'est pas disponible sur SunSolve , contactez un représentant du personnel commercial ou technique. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 43: Correctif Du Serveur Web Apache
Correctif du serveur Web Apache Si vous prévoyez d'utiliser le serveur Web Apache avec Solaris 8, vous devez également installer le correctif 109234-09 avant d'installer le logiciel Crypto Accelerator 4000 de Sun. Une fois le progiciel SUNWkcl2a ajouté, le système sera configuré...
Page 44: Correctifs Solaris 9 Requis
114758-01 Noms des fournisseurs du nœud secondaire et du DLPI 112233-08 (nécessaire uniquement pour les versions Solaris antérieures à Solaris 9 9/04) Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 45: Installation De La Carte Crypto Accelerator 4000 De Sun
« Manipulation de la carte », page 15 « Installation de la carte », page 16 « Installation du logiciel Crypto Accelerator 4000 de Sun », page 18 « Répertoires et fichiers », page 22 Une fois le matériel et le logiciel de la carte installés, vous devez initialiser la carte avec les informations de configuration et de stockage de clés.
Page 46: Installation De La Carte
PCI. Fixez ensuite la vis à l'arrière du support. 6. Replacez le couvercle de l'ordinateur, reconnectez le cordon d'alimentation et mettez le système sous tension. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 47 /pci@8,600000/SUNW,qlc@4/fp@0,0 Dans l'exemple précédent, /pci@8,600000/network@1 identifie le chemin du périphérique vers la carte Crypto Accelerator 4000 de Sun. Chaque carte du système est associée à une ligne de ce type. Pour déterminer si les propriétés du périphérique Crypto Accelerator 4000 de Sun sont correctement répertoriées : dans l'invite ok, naviguez jusqu'au chemin du...
Page 48: Installation Du Logiciel Crypto Accelerator 4000 De Sun
Cette section décrit la procédure d'installation du logiciel avec le script install. Pour installer le logiciel manuellement, reportez-vous à l'annexe B. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 49: Pour Installer Le Logiciel
Script de désinstallation du logiciel Crypto Accelerator 4000 de Sun remove Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 Docs Notes de version de la carte Crypto Accelerator 4000 de Sun Contient les progiciels Crypto Accelerator 4000 de Sun :...
Page 50 Do you wish to install the optional Crypto IPsec Acceleration software (SUNWkcl2i.u)? [y,n,?,q] Do you wish to install the optional Crypto Apache Support (SSL) (SUNWkcl2a SUNWkcl2o)? [y,n,?,q] y Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 51 Determining patch requirements... Verifying required patches are installed... Requirement for 113146-01 met by 113146-01. All required patches installed. Installation of <SUNWkcl2a> was successful. Installation of <SUNWkcl2o> was successful. *** Installation complete. Chapitre 2 Installation de la Carte Crypto Accelerator 4000 de Sun...
Page 52: Choix Des Progiciels Optionnels À Installer
/etc/opt/SUNWconn/vca/keydata Utilitaires /opt/SUNWconn/cryptov2/bin Bibliothèques de prise en charge /opt/SUNWconn/cryptov2/lib Commandes administratives /opt/SUNWconn/cryptov2/sbin indique l'ordre hiérarchique des répertoires et des fichiers. FIGURE 2-1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 53 Reportez-vous à la section « Initialisation de la carte avec vcaadm », page 73 pour obtenir des informations sur l'initialisation de la carte. Chapitre 2 Installation de la Carte Crypto Accelerator 4000 de Sun...
Page 54: Désinstallation Du Logiciel De Crypto Accelerator 4000 De Sun
Pour désinstaller le logiciel à l'aide du script /var/tmp/crypto_acc.remove Vous trouverez le journal de l'installation à l'emplacement suivant : /var/tmp/crypto_acc.install.2003.10.13 Entrez la commande suivante : # /var/tmp/crypto_acc.remove Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 55: Configuration Des Paramètres Du Pilote
Le pilote de périphérique vca contrôle les périphériques UTP et MMF Ethernet Crypto Accelerator 4000 de Sun. Le pilote vca est lié à la propriété du nom pci UNIX pci108e,3de8 de la carte Crypto Accelerator 4000 de Sun (108e correspond au numéro de constructeur et 3de8 au numéro du périphérique PCI).
Page 56: Valeurs Et Définitions Des Paramètres Du Pilote
(adaptateur UTP uniquement) Lecture et écriture Paramètre de contrôle de flux adv-asmpause-cap Lecture et écriture Paramètre de contrôle de flux adv-pause-cap Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 57 Paramètres, statuts et descriptions du pilote vca (suite) TABLEAU 3-1 Paramètre Statut Description Lecture et écriture Paramètre de contrôle de flux pause-on-threshold Lecture et écriture Paramètre de contrôle de flux pause-off-threshold Lecture et écriture Paramètre du mode forcé, vitesse 1 Gbits/s link-master Lecture et écriture Active un délai supplémentaire avant...
Page 58: Communication Des Paramètres De Liaison
Capacité d'interface locale communiquée par le matériel adv-10hdx-cap 0 = semi-duplex 10 Mbits/s impossible 1 = semi-duplex 10 Mbits/s possible (par défaut) Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 59: Paramètres De Contrôle De Flux
WARNING: vca0: Restoring previous setting. Remarque – Dans l'exemple précédent, vca0 est le nom du périphérique de la Crypto Accelerator 4000 de Sun où la chaîne vca est utilisée pour chaque carte Crypto Accelerator 4000 de Sun. Cette chaîne est toujours suivie du numéro d'instance de périphérique de la carte.
Page 60: Paramètre Du Mode Forcé En Gigabit
Lorsqu'il est sur 0, ce paramètre active le fonctionnement esclave, considérant que le partenaire de liaison est un maître (par défaut). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 61: Paramètres D'intervalles Entre Paquets
Paramètres d'intervalles entre paquets Le périphérique vca prend en charge le mode programmable enable-ipg0. Avant de transmettre un paquet lorsque enable-ipg0 est activé (par défaut), le périphérique vca ajoute un délai supplémentaire. Ce délai, défini par le paramètre ipg0, vient s'ajouter à celui défini par les paramètres ipg1 et ipg2. Ce délai ipg0 supplémentaire permet de réduire les collisions.
Page 62: Paramètres D'interruption
S'interrompt 4,5 microsecondes après le traitement du rx-intr-time dernier paquet. La valeur 0 indique aucune suppression de temps (par défaut = 3). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 63: Paramètres De Perte Précoce Aléatoire
Paramètres de perte précoce aléatoire Ces paramètres offrent la possibilité de perdre des paquets en fonction du remplissage de la file d'attente de réception FIFO. Par défaut, cette option est activée. Lorsque l'occupation de la file d'attente FIFO atteint un certain niveau, les paquets sont perdus selon la probabilité...
Page 64: Paramètres De L'interface Bus Pci
0. Les valeurs sont comprises entre 0 et 1 (par défaut = 0, ce qui active la capacité 64 bits). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 65: Définition Des Paramètres Du Pilote Vca
Définition des paramètres du pilote vca Vous pouvez définir les paramètres du pilote de périphérique vca de deux façons : à l'aide de l'utilitaire nnd ; à l'aide du fichier vca.conf. Si vous utilisez l'utilitaire nnd, les paramètres sont conservés jusqu'au prochain redémarrage du système uniquement.
Page 66: Pour Spécifier Des Instances De Périphérique Pour L'utilitaire Ndd
Pour plus d'informations, reportez-vous à la page manuel en ligne de l'utilitaire ndd(1M). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 67 Utilisation de l'utilitaire ndd en mode non-interactif Cette section explique comment modifier et afficher les valeurs des paramètres. Pour modifier la valeur d'un paramètre, utilisez l'option -set. Si vous appelez l'utilitaire nnd avec l'option -set, l'utilitaire rencontre la valeur, que vous devez spécifier à...
Page 68 (read and write) tx-dma-weight (read and write) rx-dma-weight (read and write) infinite-burst (read and write) disable-64bit (read and write) name to get/set ? Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 69: Définition De L'auto-Négociation Ou Du Mode Forcé
Remarque – Dans l'exemple précédent, N est le numéro d'instance du périphérique vca. Ce chiffre devrait correspondre au numéro d'instance de la carte pour laquelle vous exécutez la commande kstat. Définition de l'auto-négociation ou du mode forcé Les paramètres de liaison suivants peuvent être définis pour fonctionner en mode auto-négociation ou en mode forcé...
Page 70: Définition Des Paramètres À L'aide Du Fichier Vca.conf
Accelerator 4000 de Sun à l'aide du fichier vca.conf, vous devez connaître les trois informations suivantes : le nom, le parent et l'adresse du périphérique. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 71: Tableau
"pci108e,3de8" Dans l'exemple précédent, le nom du périphérique correspondant au pilote (vca) du logiciel Crypto Accelerator 4000 de Sun est « pci108e,3de8 ». b. Repérez le nom du parent du périphérique et l'adresse de l'unité du périphérique dans le fichier /etc/path_to_inst.
Page 72: Définition Des Paramètres Pour Tous Les Périphériques Crypto Accelerator 4000 De Sun Vca À L'aide Du Fichier Vca.conf
L'exemple suivant définit le paramètre adv-autoneg-cap sur 1 pour toutes les instances de tous les périphériques Ethernet Crypto Accelerator 4000 de Sun : adv-autoneg-cap Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 73: Exemple De Fichier Vca.conf
Exemple de fichier vca.conf Voici un exemple de fichier vca.conf : # Copyright 2003 Sun Microsystems, Inc. All rights reserved. # Use is subject to license terms. #ident "@(#)vca.conf 10/03/13 SMI" # Use the new Solaris 9 ddi-no-autodetach property to prevent the # driver from being unloaded by the cleanup modunload -i 0.
Page 74: Activation De L'auto-Négociation Ou Du Mode Forcé Pour Les Paramètres De Liaison À L'aide De L'invite Openboot Prom
L'absence d'un paramètre à l'invite ok de l'OpenBoot PROM Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 75 configure ce paramètre pour qu'il ait une valeur auto par défaut. Une valeur autre que auto configure la liaison locale pour fonctionner en mode forcé pour ce paramètre. Lorsque la liaison locale fonctionne en mode auto-négociation pour les paramètres speed et duplex à 100 Mbits/s au plus, en duplex intégral et semi-duplex, alors le partenaire de liaison utilise des vitesses de 100 Mbits/s ou de 10 Mbits/s avec les deux duplex.
Page 76 PROM pour établir les mêmes paramètres de liaison locale comme dans l'exemple précédent : ok boot net:speed=10 Pour plus d'informations, consultez la documentation relative à la norme IEEE 802.3. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 77: Statistiques Cryptographiques Et De Fonctionnement Du Pilote Ethernet
Statistiques cryptographiques et de fonctionnement du pilote Ethernet Cette section décrit les statistiques présentées par la commande kstat(1M). Statistiques cryptographiques du pilote décrit les statistiques cryptographiques du pilote. TABLEAU 3-12 Statistiques cryptographiques du pilote TABLEAU 3-12 Paramètre Description Stable ou instable Les valeurs sont FIPS, standard ou Stable vs-mode...
Page 78: Statistiques Du Pilote Ethernet
Paquets rejetés à la sortie car la mémoire tampon Stable noxmtbuf pour la transmission était occupée ou aucune mémoire n'a pu être allouée à la transmission (long). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 79: Compteurs Mac De Transmission (Tx) Et De Réception (Rx)
décrit les compteurs MAC de transmission et de réception. TABLEAU 3-14 Compteurs MAC de transmission (TX) et de réception (RX) TABLEAU 3-14 Paramètre Description Stable ou instable Incréments du compteur chargeable Stable tx-collisions 16 bits pour chaque tentative de transmission de trame se soldant par une collision.
Page 80 (FCS) ni comme une erreur d'alignement. Nombre de trames Ethernet perdues en Instable rx-overflows raison du manque de ressources. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 81: Propriétés Courantes De La Liaison Ethernet
Compteurs MAC de transmission (TX) et de réception (RX) (suite) TABLEAU 3-14 Paramètre Description Stable ou instable Nombre de fois où il est matériellement Instable rx-no-buf impossible de recevoir des données en raison du manque d'espace dans la mémoire tampon de réception. Nombre de fois où...
Page 82: Capacités Du Périphérique Vca En Lecture Seule
Stable cap-pause 0 = Pause symétrique impossible 1 = Pause symétrique possible (Voir « Paramètres de contrôle de flux », page 29) Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 83: Rapport Des Capacités Du Partenaire De Liaison
Rapport des capacités du partenaire de liaison décrit les capacités du partenaire de liaison en lecture seule. TABLEAU 3-17 Capacités du partenaire de liaison en lecture seule TABLEAU 3-17 Paramètre Description Stable ou instable 0 = Aucune auto-négociation Stable lp-cap-autoneg 1 = Auto-négociation 0 = Aucune transmission Stable...
Page 84: Paramètres Spécifiques Au Pilote
Nombre de paquets répartis sur deux pages. Instable rx-split-pkts Nombre de paquets perdus en raison d'échecs Instable rx-nocanput lors de la livraison à la pile IP. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 85 Propriétés PCI Ethernet ID de révision du périphérique Ethernet Instable rev-id Crypto Accelerator 4000 de Sun utile pour la reconnaissance d'un périphérique utilisé sur site. Somme de toutes les erreurs PCI. Instable pci-err Nombre d'abandons cible reçus.
Page 86: Pour Vérifier Les Paramètres Du Partenaire De Liaison
Ensemble d'octets IPsec devant être Stable ipsec_obytes transmis sur l'interface. Ensemble d'octets IPsec devant être Stable ipsec_obytes64 transmis sur l'interface (64 bits). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 87 Statistiques cryptographiques du pilote pour l'accélération IPsec en ligne TABLEAU 3-19 (suite) Paramètre Description Stable ou instable Ensemble des paquets IPsec dont la Stable ipsec_oerrors transmission a échoué en raison d'erreurs (long). Ensemble des paquets IPsec devant être Stable ipsec_opackets transmis sur l'interface.
Page 88: Configuration Du Réseau
/etc/nom d'hôte.vcaN, où N correspond au numéro d'instance du périphérique désigné par 0 dans cet exemple. Si le numéro d'instance était 1, le nom du fichier aurait été /etc/nom d'hôte.vca1. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 89 : /etc/nom d'hôte.vca0 et /etc/nom d'hôte.vca1 ne peuvent pas avoir un nom d'hôte identique. L'exemple suivant indique le fichier /etc/nom d'hôte.vca nécessaire pour un système appelé zardoz doté d'une carte Crypto Accelerator 4000 de Sun (zardoz-11). # cat /etc/nom d'hôte.hme0 zardoz # cat /etc/nom d'hôte.vca0...
Page 90: Configuration De L'accélération Matérielle Ipsec
Remarque – La configuration hors bande offre un plus grand débit IPsec que la configuration en ligne sur les systèmes multiprocesseurs qui ne nécessitent que les algorithmes de chiffrement DES ou 3DES. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 91: Activation De L'accélération Ipsec Hors Bande
Aucune configuration ni aucun paramétrage IPsec ne sont requis pour utiliser la carte pour l'accélération IPsec dans Solaris 9. Il vous suffit d'installer les progiciels Crypto Accelerator 4000 de Sun et de redémarrer l'ordinateur. Activation de l'accélération IPsec en ligne Solaris 9 12/03 ou une version ultérieure est requise.
Page 92 Reportez-vous au pour obtenir une description des statistiques kstat de l'accélération TABLEAU 3-19 en ligne. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 93: Administration De La Carte Crypto Accelerator 4000 De Sun
Accelerator 4000 de Sun. Seuls les utilisateurs désignés comme responsables de la sécurité sont autorisés à utiliser l'utilitaire vcaadm. Lors de la première connexion à une carte Crypto Accelerator 4000 de Sun avec vcaadm, vous êtes invité à créer un responsable de la sécurité et un mot de passe d'origine.
Page 94: Options Vcaadm
Ouvre la session pour le responsable de la sécurité nommé resp-sécurité. Force une réponse oui à toute commande qui devrait normalement demander une confirmation. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 95: Modes De Fonctionnement
$ vcaadm -s resp-sécurité create user web-admin Security Officer Password: Enter new user password: Confirm password: User web-admin created successfully. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 96: Mode Fichier
Le mode interactif fournit à l'utilisateur une interface similaire à ftp(1), où les commandes peuvent être saisies l'une après l'autre. L'option -y n'est pas prise en charge en mode interactif. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 97: Connexion Et Déconnexion Avec Vcaadm
été établie. L'utilitaire vcaadm établit une connexion réseau chiffrée (canal) entre l'application vcaadm et le microprogramme Crypto Accelerator 4000 de Sun exécuté sur la carte spécifiée. Au cours de la configuration du canal chiffré, les cartes s'identifient elles-mêmes par leur adresse Ethernet et par une clé...
Page 98 1. Abort this connection 2. Trust the board for this session only 3. Replace the current trusted key with the new key Your Choice --> Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 99: Déconnexion De La Carte Avec Vcaadm
», page 41 pour plus de détails sur la récupération de ce numéro pour un périphérique. nomhôte Nom de l'hôte auquel la carte Crypto Accelerator 4000 de Sun est physiquement connectée. nomhôte peut être remplacé par l'adresse IP de l'hôte physique.
Page 100: Paramètres Facultatifs De La Commande Connect
Chaque nouvelle connexion provoque la renégociation par vcaadm et le microprogramme Crypto Accelerator 4000 de Sun cible des nouvelles clés de session pour protéger les données administratives envoyées. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 101: Saisie De Commandes Avec Vcaadm
Saisie de commandes avec vcaadm L'utilitaire vcaadm dispose d'un langage de commande qui doit être utilisé pour interagir avec la carte Crypto Accelerator 4000 de Sun. Les commandes sont saisies en utilisant tout ou partie d'une commande (partie suffisamment longue pour pouvoir identifier la commande de manière unique).
Page 102: Obtention D'aide Pour Les Commandes
Generate new system keys reset Reset the hardware Set operating parameters show Show system settings zeroize Delete all keys and reset board Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 103: Fermeture De L'utilitaire Vcaadm En Mode Interactif
Ctrl+D existe également à partir de vcaadm. Initialisation de la carte avec vcaadm La première étape pour la configuration d'une carte Crypto Accelerator 4000 de Sun consiste à l'initialiser. Lorsque vous initialisez une carte, vous devez créer un stockage de clés.
Page 104: Pour Initialiser La Carte Avec Un Nouveau Stockage De Clés
Reportez-vous au document FIPS 140-2 situé à l'adresse suivante : http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf Run in FIPS 140-2 mode? (Y/Yes/N/No) [No]: y Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 105: Initialisation De La Carte En Vue D'utiliser Un Stockage De Clés Existant
En outre, vous pouvez restaurer la configuration d'un stockage de clés d'origine d'une carte Crypto Accelerator 4000 de Sun. Cette section décrit comment initialiser une carte pour utiliser un stockage de clés existant stocké dans un fichier de sauvegarde.
Page 106: Pour Initialiser La Carte En Vue D'utiliser Un Stockage De Clés Existant
----------------------------------------------------- Path to backup file: /tmp/sauvegarde-carte Keystore Name: nom-stockage-clés ----------------------------------------------------- Is this correct? (Y/Yes/N/No) [No]: y Restoring data to crypto accelerator board... Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 107: Gestion Des Stockages De Clés Avec Vcaadm
Comptes de responsables de la sécurité : ces comptes donnent accès aux fonctions de gestion de clé via vcaadm. Remarque – Une carte Crypto Accelerator 4000 de Sun unique doit avoir exactement un stockage de clés. Plusieurs cartes peuvent être configurées pour fonctionner de manière collective avec le même stockage de clés, afin de fournir des...
Page 108: Conditions Pour Le Mot De Passe
Crypto Accelerator 4000 de Sun sur high : vcaadm{vcaN@nomhôte, resp-sécurité}> set passreq high vcaadm{vcaN@nomhôte, resp-sécurité}> set passreq Password security level (low/med/high): high Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 109: Remplissage D'un Stockage De Clés Avec Des Responsables De La Sécurité
Il peut y avoir plusieurs responsables de la sécurité pour un stockage de clés. Les noms des responsables de la sécurité sont connus uniquement au sein du domaine de la carte Crypto Accelerator 4000 de Sun et il n'est pas nécessaire qu'ils soient identiques à des noms d'utilisateur sur le système hôte.
Page 110: Liste Des Utilisateurs Et Des Responsables De La Sécurité
User Status ----------------------------------------------------- web-admin Enabled Enabled ----------------------------------------------------- vcaadm{vcaN@nomhôte, resp-sécurité}> show so Responsable de la sécurité ----------------------------------------------------- resp-sécurité Alice ----------------------------------------------------- Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 111: Modification Des Mots De Passe
Si le nom de l'utilisateur est omis, vcaadm vous invite à l'entrer. vcaadm{vcaN@nomhôte, resp_sécurité}> disable user Tom User Tom disabled. vcaadm{vcaN@nomhôte, resp_sécurité}> disable user User name: web-admin User web-admin disabled. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 112: Suppression Des Utilisateurs
Security Officer Bob deleted. vcaadm{vcaN@nomhôte, resp-sécurité}> delete so Security Officer name: Alice Delete Security Officer Alice? (Y/Yes/N/No) [No]: y Security Officer Alice deleted. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 113: Sauvegarde De La Clé Principale
Sauvegarde de la clé principale Les stockages de clés sont stockés sur le disque et chiffrés dans une clé principale, qui est alors stockée dans le microprogramme Crypto Accelerator 4000 de Sun et peut être sauvegardée par un responsable de la sécurité.
Page 114: Gestion Des Cartes Avec Vcaadm
La commande suivante redéfinit sur 10 minutes le délai de déconnexion automatique pour un responsable de la sécurité : vcaadm{vcaN@nomhôte, resp-sécurité}> set timeout 10 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 115: Affichage De L'état De La Carte
* Device is in FIPS 140-2 Mode ---------------------------------------------------------------- Détermination du mode de fonctionnement de la carte Si la carte Crypto Accelerator 4000 de Sun fonctionne en mode FIPS 140-2, la commande show status imprime la ligne suivante : * Device is in FIPS 140-2 Mode Si la carte ne fonctionne pas en mode FIPS 140-2, la commande show status n'imprime aucune ligne spécifiant le mode FIPS 140-2.
Page 116: Chargement D'un Nouveau Microprogramme
WARNING: Issuing this command will reset the the board and close this connection. Proceed with reset? (Y/Yes/N/No) [No]: y Reset successful. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 117: Recomposition De La Carte
Rekeying the remote access key will terminate this session and force you to log in again. Rekey board? (Y/Yes/N/No) [No]: y Rekey of master key successful. Rekey of remote access key successful. Logging out. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 118: Remise À Zéro Du Logiciel Sur La Carte
Les tests du sous-système de réseau couvrent le périphérique vca. vcaadm{vcaN@nomhôte, resp-sécurité}> diagnostics Performing diagnostic tests...Done. Diagnostic Results ----------------------------------------------------- General Hardware: PASS Cryptographic Subsystem: PASS Network Subsystem: PASS ----------------------------------------------------- Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 119: Utilisation De La Commande Vcad
être ouvert, vcad ne peut pas démarrer. Exécute la commande vcad en avant-plan et envoie le résultat du journal à stderr. Ce comportement remplace un fichier-journal sélectionné avec l'attribut -L. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 120 « Sécurité du démon vcad », page 93 pour des recommandations sur l'utilisation de vcad en tant qu'utilisateur non superutilisateur. Affiche les informations de version de vcad. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 121: Fichier De Configuration De Vcad
être accessible en lecture et en écriture par l'utilisateur qui exécute vcad (voir la directive User). L'emplacement par défaut du répertoire de stockage de clés est le suivant : /etc/opt/SUNWconn/vca/keydata. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 122 à l'UID associé au nom d'utilisateur. La valeur par défaut de cette directive est le nom de l'utilisateur qui a lancé vcad. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 123: Sécurité Du Démon Vcad
1. Configuration de l'accès en lecture/écriture pour /dev/vcactl. Le démon vcad communique directement avec /dev/vcactl pour retransmettre les données de commande et obtenir du microprogramme Crypto Accelerator 4000 de Sun les commandes d'entrée/sortie de stockage de clés. Les autorisations et la propriété...
Page 124 également des avertissements lors de l'ouverture et de la fermeture de nouvelles connexions. Exemple 3 : démarrez le démon vcad et utilisez un autre fichier de configuration. # /opt/SUNWconn/cryptov2/sbin/vcad -f /etc/opt/SUNWconn/vca/alt-vcad.conf Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 125: Utilisation De L'utilitaire Vcadiag
TABLEAU 4-9 Options vcadiag TABLEAU 4-9 Option Description Exécute les diagnostics sur la carte Crypto Accelerator 4000 de Sun. vcaN vcaN Affiche l'empreinte de la clé publique utilisée par la carte Crypto Accelerator 4000 de Sun pour la sécurisation des sessions d'administration.
Page 126 # vcadiag -D vca0 Running vca0 on-board diagnostics. Diagnostics on vca0 PASSED. L'exemple suivant illustre l'option -F : # vcadiag -F vca0 5f26-b516-83b4-d254-a75f-c70d-0544-4de6 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 127 Device vca0 reset ok. L'exemple suivant illustre l'option -Z : # vcadiag -Z vca0 Zeroizing device vca0, this may take a few minutes. Please be patient. Device vca0 zeroized. Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 128: Utilisation De L'utilitaire Pk11Export
Place le fichier PKCS#12 obtenu dans le fichier nomfichier. Si la valeur nomfichier n'est pas précisée, le fichier PKCS#12 est placé dans le répertoire courant sous le nom pkcs12file. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 129 /tmp/webserv-export.p12. example% pk11export -o /tmp/webserv-export.p12 nobody@webserv Enter password for nobody@webserv: Enter password for pkcs12 file: Re-enter password for pkcs12 file: /tmp/webserv-export.p12 was created successfully Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 130: Utilisation Du Script Iplsslcfg
Please select what you wish to do: --------------------------------------------------------- 1. Configure Sun ONE Web Server for SSL 2. Configure Sun ONE Application Server for SSL Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 131: Pour Utiliser L'option 3 Du Script Iplsslcfg
Sun ONE Web au format PKCS#12. Ces certificats peuvent alors être réimportés dans le module Crypto Accelerator 4000 de Sun. 1. Tapez l'instruction suivante pour exécuter le script iplsslcfg : # /opt/SUNWconn/cryptov2/bin/iplsslcfg Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 132 ":" and the certificate name. Not all external tokens will allow keys to be exported. Certificate Name [Server-Cert]: Server-Cert Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 133: Pour Utiliser L'option 4 Du Script Iplsslcfg
Pour utiliser l'option 4 du script iplsslcfg Cette option permet d'importer des clés et des certificats au format PKCS#12 dans la carte. 1. Entrez l'instruction suivante pour exécuter le script iplsslcfg : # /opt/SUNWconn/cryptov2/bin/iplsslcfg Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 134 Enter the token name: vca0 7. Entrez la chaîne nomutilisateur:motpasse permettant de vous authentifier. Voir le TABLEAU 5-1 Enter Password or Pin for "vca0": Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 135: Utilisation Du Script Apsslcfg
1. Génération d'une paire de clés et demande d'un certificat pour Apache 2. Exportation des clés Apache (codées PEM X.509) au format PKCS#12 3. Importation des clés au format PKCS#12 vers Apache (codées PEM X.509) Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 136: Pour Générer Une Paire De Clés Et Demander Un Certificat Pour Apache
Utilisez un mot de passe efficace et veillez à ne pas l'oublier. Enter PEM pass phrase: Verifying - Enter PEM pass phrase: 7. Entrez les composants du nom de certificat de votre demande. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 137: Pour Exporter Des Clés Apache (Codées Pem X.509) Au Format
Toutefois, lorsqu'elles sont stockées dans des fichiers différents, ceux-ci doivent porter le même nom. Enter the path to the key file: Enter the path to the certificate file: Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 138: Pour Importer Des Clés Au Format Pkcs#12 Vers Apache (Codées Pem X.509)
1. Tapez 3 pour sélectionner cette option. 2. Saisissez le chemin et le nom du fichier PKCS#12. Enter the path to the PKCS#12 file: Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 139 Les données de clé et de certificat sont écrites dans le fichier spécifié à l'étape 4. Enter PEM pass phrase: Verifying - Enter PEM pass phrase: The keys have been successfully extracted to the file /etc/apache/key2/yakstuff.pem. <Press ENTER to continue> Chapitre 4 Administration de la Carte Crypto Accelerator 4000 de Sun...
Page 140: Attribution De Différentes Adresses Mac À Plusieurs Cartes Installées Sur Le Même Serveur
Remarque – Quand le paramètre local-mac-address? est défini sur true, tous les périphériques d'interface réseau non intégrés utilisent l'adresse MAC affectée au produit lors de la fabrication. 2. Démarrez le système d'exploitation. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 141: Installation Et Configuration Du Logiciel Du Serveur Sun One
C H A P I T R E Installation et configuration du logiciel du serveur Sun ONE Ce chapitre explique comment configurer la carte Crypto Accelerator 4000 de Sun pour une utilisation avec un serveur Sun ONE. Il est composé des sections suivantes : «...
Page 142: Administration De La Sécurité Pour Les Serveurs Web Sun One
UNIX traditionnels. Il n'existe pas de mappage fixe entre les noms d'utilisateur UNIX et ceux de la carte Crypto Accelerator 4000 de Sun. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 143 Comptes de responsables de la sécurité : comptes qui donnent accès aux fonctions de gestion de clé via vcaadm. Remarque – Une carte Crypto Accelerator 4000 de Sun unique doit avoir exactement un stockage de clés. Plusieurs cartes carte Crypto Accelerator 4000 de Sun peuvent être configurées pour fonctionner de manière collective avec le même...
Page 144 Crypto Accelerator 4000 de Sun. Reportez-vous à la section « Gestion des stockages de clés avec vcaadm », page 77. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 145: Jetons Et Fichiers De Jetons
; dans ce cas, cette approche peut être irréalisable. 3. Le fichier /etc/opt/SUNWconn/cryptov2/tokens Si aucun fichier de jetons n'existe, le logiciel Crypto Accelerator 4000 de Sun présente tous les jetons aux serveurs Web Sun ONE. Chapitre 5 Installation et configuration du logiciel du serveur Sun ONE...
Page 146: Activation Et Désactivation D'un Chiffrement De Masse
# touch /etc/opt/SUNWconn/cryptov2/sslreg Pour désactiver la fonction de chiffrement de masse, supprimez le fichier sslreg et redémarrez le logiciel du serveur. # rm /etc/opt/SUNWconn/cryptov2/sslreg Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 147: Configuration Des Serveurs Web Sun One
Requis lors de l'exécution d'opérations privilégiées vcaadm. la sécurité nomutilisateur:motpasse Requis pour démarrer le module Crypto Accelerator 4000 de Sun lors de l'exécution en mode sécurisé. Il est également requis lorsque vous effectuez une demande de certificats et que vous les installez dans le module cryptographique interne (nom- stockageclés).
Page 148: Remplissage D'un Stockage De Clés
UNIX sous lequel le serveur Web s'exécute. Avant de créer l'utilisateur, pensez au préalable à vous connecter en tant que responsable de la sécurité vcaadm. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 149: Présentation De L'activation Des Serveurs Web Sun One
4. Créez un utilisateur à l'aide de la commande create user. vcaadm{vcaN@nomhôte, resp_sécurité}> create user nomutilisateur Initial password: Confirm password: User nomutilisateur created successfully. Les nom d'utilisateur et mot de passe créés ici de manière collective composent le nomutilisateur:motpasse (voir ).
Page 150: Configuration Des Serveurs Web Sun One Pour Un Redémarrage Sans Intervention De L'utilisateur
à ce que ce dernier soit uniquement lisible par son propriétaire : # chown ID-utilisateur-UNIX-serveur-web password.conf # chmod 400 password.conf Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 151: Pour Installer Le Serveur Web Sun One 4
Installation et configuration d'un serveur Web Sun ONE 4.1 Cette section décrit l'installation et la configuration du serveur Web Sun ONE 4.1 afin d'utiliser la carte. Vous devez respecter l'ordre des étapes. Reportez-vous à la documentation du serveur Web Sun ONE pour plus d'informations sur l'installation et l'utilisation des serveurs Web Sun ONE.
Page 152: Configuration D'un Serveur Web Sun One 4
Cliquez sur l'onglet « Servers » (Serveurs) dans la fenêtre du serveur d'administration Sun ONE 4.1. b. Sélectionnez un serveur et cliquez sur le bouton « Manage » (Gestion). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 153: Pour Enregistrer La Carte Avec Le Serveur Web
Ce script vous invite à choisir un serveur et installe les modules cryptographiques de la carte Crypto Accelerator 4000 de Sun pour le serveur Sun ONE que vous choisissez. Il met ensuite à jour les fichiers de configuration pour activer la carte.
Page 154 Module "Sun Crypto Accelerator 4000" added to database. /usr/netscape/server4 has been configured to use the Sun Crypto Accelerator. <Press ENTER to continue> 5. Saisissez 0 pour quitter. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 155: Pour Créer Un Certificat De Serveur
Pour créer un certificat de serveur 1. Redémarrez le serveur d'administration Sun ONE 4.1 en saisissant les commandes suivantes : # /usr/netscape/server4/https-admserv/stop # /usr/netscape/server4/https-admserv/start La réponse indique l'URL avec laquelle vous devez vous connecter à vos serveurs. 2. Démarrez l'interface utilisateur graphique Administration en ouvrant un navigateur Web et en saisissant : http://nomhôte.domaine:admin-port Dans la boîte de dialogue d'authentification, saisissez le nom d'utilisateur et le mot...
Page 156 (URL de l'autorité de certification). Sinon, dans le champ « CA Email Address » (Adresse électronique de l'autorité de certification), saisissez une adresse électronique à laquelle vous voulez envoyer votre demande de certificat. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 157: Champs D'informations Sur Le Demandeur
b. Sélectionnez le « Cryptographic Module » (Module cryptographique) que vous voulez utiliser. Chaque stockage de clés dispose de sa propre entrée dans ce menu déroulant. Assurez-vous de sélectionner le stockage de clés adéquat. Ne sélectionnez pas « SUNW acceleration only » (Uniquement l'accélération SUNW). c.
Page 158: Pour Installer Le Certificat De Serveur
Boîte de dialogue « Install a Server Certificate » (Installer un certificat de FIGURE 5-3 serveur) du serveur d'administration Sun ONE 4.1. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 159: Champs Du Certificat À Installer
4. Remplissez le formulaire pour installer votre certificat : Champs du certificat à installer TABLEAU 5-3 Champs Description Certificate For (Certificat pour) Ce serveur Cryptographic (Module cryptographique) Chaque stockage de clés dispose de sa Module propre entrée dans ce menu déroulant. Veillez à sélectionner le nom de stockage de clés correct.
Page 160: Pour Activer Le Serveur Web Pour Ssl
à préciser le nomutilisateur:motpasse. Il est impossible de redimensionner la fenêtre et il se peut que vous ne puissiez pas envoyer les modifications. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 161: Installation Et Configuration D'un Serveur Web Sun One 6
Il existe deux solutions à ce problème. Sélectionnez plutôt le bouton « Load Configuration Files » (Charger les fichiers de configuration) ; Démarrez d'abord le serveur Web, puis cliquez sur le bouton « Apply Changes » (Appliquer les modifications). 10. Dans la partie gauche de la fenêtre du serveur d'administration Sun ONE 4.1, sélectionnez le lien On/Off (Activé/Désactivé).
Page 162: Pour Installer Le Serveur Web Sun One 6
; d'activer le serveur Web pour SSL. Le serveur d'administration Sun ONE doit être sous tension et fonctionner pendant le processus de configuration. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 163: Pour Créer Une Base De Données Certifiée
Pour créer une base de données certifiée 1. Démarrez le serveur d'administration Sun ONE 6.0. Pour démarrer un serveur d'administration Sun ONE 6.0, utilisez la commande suivante (plutôt que d'exécuter startconsole comme requête setup) : # /usr/iplanet/servers/https-admserv/start SunONE-WebServer-Enterprise/6.0SP1 B08/20/2001 00:58 warning: daemon is running as super-user [LS ls1] http://nomhôte.domaine/port 8888 ready to accept requests startup: server started successfully...
Page 164: Pour Enregistrer La Carte Avec Le Serveur Web
3. Export Sun ONE Web Server keys to PKCS#12 format 4. Import keys from PKCS#12 format for Sun ONE Web Server Your selection (0 to quit): 1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 165: Pour Créer Un Certificat De Serveur
You will need to restart your admin server after this has completed. Ok to proceed? [Y/N]: y Using database directory /usr/iplanet/servers/alias... Module "Sun Crypto Accelerator 4000" added to database. /usr/iplanet/servers has been configured to use the Sun Crypto Accelerator. <Press ENTER to continue>...
Page 166 Sun ONE 6.0. La fenêtre « Create Trust Database » (Création d'une base de données certifiée) s'affiche. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 167 5. Cliquez sur le lien « Request a Certificate » (Demander un certificat) sur le volet gauche de la fenêtre du serveur d'administration Sun ONE 6.0. Boîte de dialogue « Request a Server Certificate » (Demander un certificat de FIGURE 5-4 serveur) du serveur d'administration Sun ONE 6.0.
Page 168: Champs D'informations Sur Le Demandeur
Conservez ces données dans le presse- papiers pour l'étape 5 dans « Pour installer le certificat de serveur », page 139. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 169: Pour Installer Le Certificat De Serveur
Pour installer le certificat de serveur 1. Sélectionnez le lien « Install Certificate » (Installer le certificat) sur la partie gauche de la fenêtre du serveur d'administration Sun ONE 6.0. Une fois votre demande approuvée par une autorité de certification et votre certificat délivré, vous devez installer ce dernier sur le serveur Sun ONE.
Page 170: Champs Du Certificat À Installer
Maintenant que le serveur Web et le certificat du serveur sont installés, vous devez activer le serveur Web pour SSL. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 171: Activation Du Serveur Web Pour Ssl
Activation du serveur Web pour SSL 1. Sélectionnez l'onglet « Preferences » (Préférences) dans la partie supérieure de la page. 2. Cliquez sur le lien « Edit Listen Sockets » (Modifier les prises de réception) sur le volet gauche. Le panneau principal répertorie toutes les prises de réception définies pour l'instance du serveur Web.
Page 172 12. Vérifiez que SSL est activé sur le nouveau serveur Web à l'adresse URL suivante : https://nomhôte.domaine:port-serveur/ Remarque – Le port-serveur par défaut est 443. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 173: Installation Et Configuration De Sun One Application Server
Installation et configuration de Sun ONE Application Server 7 Cette section décrit l'installation et la configuration de Sun ONE Application Server 7 afin d'utiliser la carte. Outre le logiciel du serveur d'application, vous devez également installer les logiciels complémentaires. Vous devez respecter l'ordre des étapes.
Page 174 Appliquez le correctif de la manière suivante : # cd emplacement-patch/SUNWappserver7/patches # cd patches/109326-08 # ./patchadd . 6. Redémarrez le système. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 175: Pour Installer Les Logiciels Complémentaires De Sun One Application Server
Pour installer les logiciels complémentaires de Sun ONE Application Server 7 1. Téléchargez-les. Ils sont disponibles à l'adresse URL suivante : http://www.sun.com/ 2. Procédez à leur extraction. 3. Allez dans le répertoire ./AddOns/SSLUtils. 4. Créez le répertoire où le script iplsslcfg invoque l'outil de sécurité modutil. # mkdir /usr/bin/mps C'est à...
Page 176: Pour Créer Une Base De Données Certifiée
Pour plus d'informations, reportez-vous au Sun ONE Application Server 7 Administrator’s Guide (Guide administrateur pour Sun One Administrator 7) à l'adresse suivante : http://docs.sun.com/source/816-7158-10/. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 177: Pour Enregistrer La Carte Avec Le Serveur D'application
Ce script vous invite à choisir un serveur et installe les modules cryptographiques du Crypto Accelerator 4000 de Sun pour le serveur Sun ONE que vous choisissez. Il met ensuite à jour les fichiers de configuration pour activer la carte.
Page 178 Remarque – Le répertoire d'installation par défaut peut être différent selon la version de Sun ONE Application Server 7. 4. Saisissez 0 pour quitter. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 179: Pour Créer Un Certificat De Serveur
Pour créer un certificat de serveur 1. Accédez à la section « Certificate Management » (Gestion des certificats) de I'interface utilisateur graphique. Sélectionnez le lien de sécurité sur le volet gauche et cliquez sur l'onglet « Certificate Management » (Gestion des certificats) sur le volet droit. Vous êtes maintenant dans la fenêtre du sous-menu «...
Page 180: Champs D'informations Sur Le Demandeur
été envoyée avec les en-têtes et remettez-la à votre autorité de certification. 4. Une fois le certificat créé, copiez-le avec les en-têtes dans le presse-papiers. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 181: Pour Installer Le Certificat De Serveur
Remarque – Le certificat est différent de la demande de certificat et il vous est généralement présenté sous forme de texte. Conservez ces données dans le presse- papiers pour l'étape 4 dans « Pour installer le certificat de serveur », page 151. Pour installer le certificat de serveur 1.
Page 182: Champs Du Certificat À Installer
SSL est terminée. Vous êtes également averti que le serveur d'application doit être configuré de manière à pouvoir utiliser SSL. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 183: Pour Activer Le Serveur D'application Pour Ssl
Pour activer le serveur d'application pour SSL 1. Saisissez la commande suivante dans une fenêtre de terminal. Vous devez également saisir le mot de passe du serveur d'administration Sun ONE Application Server après l'exécution de cette commande. Remarque – Vous pouvez omettre les arguments --host nomhôte --port port- serveur-administration si vous exécutez cette commande sur l'hôte local, et si le serveur d'administration Sun ONE Application Server est configuré...
Page 184 1 de la section « Pour activer le serveur d'application pour SSL », page 153. 6. Vérifiez au moins les informations contenues dans les cases suivantes : SSL/TLS activé SSL3 activé TLS activé Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 185 Annulation TLS activée Chiffrements SSL3/TLS : rsa_rc4_128_md5 et rsa_3des_sha 7. Définissez le port (en général le port 443). 8. Pour l'annulation, TLS doit également être activé sur le navigateur qui cherche à accéder à votre serveur. Pour Netscape Navigator 6.0, vérifiez TLS et SSL3. Pour Microsoft Internet Explorer 5.0 et 5.5, utilisez l'option Annulation TLS.
Page 186: Installation De Sun One Directory Server 5
Remarque – Vous ne devez pas installer les progiciels individuellement car le script setup les installe tous. Après l'installation, Sun ONE Directory Server et le serveur d'administration démarrent automatiquement. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 187: Configuration De Sun One Directory Server 5
Server doivent être sous tension et fonctionner pendant le processus de configuration. Pour créer une base de données certifiée Cette procédure permet d'ajouter le module Crypto Accelerator 4000 de Sun, qui est commun aux installations 32 bits et 64 bits. 1. Démarrez la console du serveur d'annuaire.
Page 188 4. Dans la nouvelle fenêtre contextuelle qui apparaît, sélectionnez Console→Security→Configure Security Modules (Console->Sécurité->Configurer les modules de sécurité). a. Cliquez sur « Install » (Installer). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 189 PKCS#11 : /opt/SUNWconn/cryptov2/lib/libvpkcs11.so 5. Entrez un nom dans l'entrée Saisissez un identifiant pour ce module, par exemple : Crypto Accelerator 4000 de Sun Boîte de dialogue « Install Security Module » (Installer le module de sécurité) FIGURE 5-10 de Sun ONE Directory Server 6.
Page 190: Pour Enregistrer La Carte Avec Le Serveur D'annuaire (32 Bits)
à l'emplacement où vous avez installé les versions 64 bits des outils NSS. # setenv LD_LIBRARY_PATH serveur-inst/lib/64:${LD_LIBRARY_PATH} Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 191: Création Et Installation D'un Certificat De Serveur
3. Ajoutez la carte à la base de données secmod.db. a. Allez dans le répertoire alias : # cd serveur-inst/alias b. Ajoutez la bibliothèque. # nss64-inst/bin/modutil -dbdir . -nocertdb -add "Sun Crypto Acclerator 4000" -libfile /opt/SUNWconn/cryptov2/lib/64/libvpkcs11.so Création et installation d'un certificat de serveur Excepté...
Page 192: Pour Créer Un Certificat De Serveur
1. À partir de la fenêtre de la console, ouvrez l'instance du serveur d'annuaire pour la carte. 2. À partir du menu en haut de la fenêtre de la console, sélectionnez Console→Security→Manage Certificates (Console->Sécurité->Gérer les certificats). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 193 3. Sélectionnez l'onglet « CA Certs » (Certificats d'AC) en haut de la fenêtre « Manage Certificates » (Gérer les certificats). Une liste de certificats provenant d'autorités de certification et reconnue par l'instance de Sun ONE Directory Server s'affiche. Pour des informations plus détaillées à...
Page 194: Pour Installer Les Certificats De L'autorité De Certification Racine
(Répertoire) et modifiez les paramètres suivants (Voir la FIGURE 5-12 a. Configurez nsslapd-security sur on. b. Configurez nsslapd-secureport sur le port souhaité (par défaut, le port 636). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 195 c. Cliquez sur OK. Boîte de dialogue « Edition cn=config » de Sun ONE Directory Server FIGURE 5-12 Chapitre 5 Installation et configuration du logiciel du serveur Sun ONE...
Page 196 Utilisez le bouton « Add Attribute » (Ajouter attribut) pour ajouter nsKeyFile avec une valeur de alias/slapd-instname-key3.db Boîte de dialogue cn=encryption,cn=config de Sun ONE Directory FIGURE 5-13 Server d. Cliquez sur OK. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 197 6. Créez une nouvelle entrée dans la base de données sous cn=encryption, cn=config. a. Dans la fenêtre principale, faites un clic droit sur l'icône de chiffrement et sélectionnez New→Other (Nouveau->Autre) à partir du menu. b. Sélectionnez nsEncryptionModule. c. Modifiez la valeur de l'attribut « Full Name » (Nom complet) à « RSA » (Accès de sécurité...
Page 198: Installation Et Configuration De Sun One Messaging Server 5
À l'invite, saisissez le chemin d'installation. b. À l'invite, saisissez le nom des composants que vous souhaitez installer. c. Exécutez la commande ./setup pour installer les composants. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 199: Configuration De Sun One Messaging Server 5
Configuration de Sun ONE Messaging Server 5.2 Ces procédures permettent de créer une base de données certifiée pour l'instance du serveur de messagerie ; d'enregistrer la carte avec le serveur de messagerie ; de générer et d'installer un certificat de serveur ; d'afficher et d'installer des certificats CA racine ;...
Page 200: Pour Enregistrer La Carte Avec Le Serveur De Messagerie
« Certificate Setup Wizard » (Assistant de configuration de certificat), puis sélectionnez Console -> Certificate Setup Wizard (Console -> Assistant de configuration de certificat). a. Cliquez sur « Next » (Suivant). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 201 Sélectionnez le jeton qui correspond au jeton Crypto Accelerator 4000 de Sun dans lequel vous souhaitez stocker vos clés, comme indiqué dans la FIGURE 5-16 Boîte de dialogue « Certificate Setup Wizard Token Selection » (Sélection du FIGURE 5-16 jeton d'assistant de configuration de certificat) Sun ONE Messaging Server c.
Page 202 Boîte de dialogue « Certificate Setup Wizard Certificate Request » (Demande FIGURE 5-17 de certificat de l'assistant de configuration de certificat) de Sun ONE Messaging Server Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 203 f. Saisissez les informations dans les champs d'information du demandeur dans , puis cliquez sur « Next » (Suivant). TABLEAU 5-10 Champs d'informations sur le demandeur TABLEAU 5-10 Champ Description Requestor Name (Nom du demandeur) Coordonnées du demandeur Telephone Number (Numéro de téléphone) Coordonnées du demandeur Common Name (Nom commun) Domaine du site Web saisi dans le navigateur d'un...
Page 204 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 205: Pour Installer Le Certificat De Serveur
(Console -> Assistant de configuration de certificat), puis cliquez sur « Next » (Suivant) sur le premier écran. 2. Sélectionnez le jeton correspondant au jeton Crypto Accelerator 4000 de Sun sur lequel vous souhaitez installer le certificat. Ce jeton doit être le même que celui à partir duquel vous avez effectué la demande.
Page 206 FIGURE 5-19 l'assistant de configuration de certificat) de Sun ONE Messaging Server Remarque – Par défaut, le nom de certificat est Server-Cert. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 207 6. Copiez le certificat encodé en base 64 dans le presse-papiers et collez-le dans la zone de texte portant la mention « The certificate is located in the following text field » (Le certificat est situé dans le champ de texte suivant), puis cliquez sur «...
Page 208 » (Le certificat est situé dans le champ de texte suivant), puis cliquez sur « Next » (Suivant). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 209 g. Cliquez sur « Add » (Ajouter) pour ajouter le certificat ( FIGURE 5-21 Boîte de dialogue « Certificate Setup Wizard Password » (Mot de passe de FIGURE 5-21 l'assistant de configuration de certificat) de Sun ONE Messaging Server h. Cliquez sur « Done » (Terminé). Chapitre 5 Installation et configuration du logiciel du serveur Sun ONE...
Page 210: Pour Activer Le Serveur De Messagerie Pour Ssl
IMAP over SSL » (Utiliser un port différent pour que l'exécution d'IMAP couvre SSL). Par défaut, ce port est le port 993. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 211 5. Configurez le fichier sslpassword.conf pour l'instance du serveur de messagerie. # cd racine-serveur/msg-nominst/config # vi sslpassword.conf Remplacez la ligne Internal (Software) token:netscape! par le nomjeton:nomutilisateur:motpasse, où nomjeton est le nom du stockage de clés. Ce nomjeton est le nom du jeton que vous avez choisi pour créer la clé à l'étape 1. Le nomutilisateur:motpasse est celui que vous avez utilisé...
Page 212: Installation De Sun One Portal Server 6
À l'invite, saisissez le nom des composants que vous souhaitez installer. c. Exécutez la commande ./setup pour installer les composants. Remarque – Une base de données certifiée est créée automatiquement pendant l'installation. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 213: Configuration De Sun One Portal Server 6
Nouveau nom d'utilisateur : nomutilisateur Enter new user password: Confirm password: User crypta created successfully. 2. Chargez le module Crypto Accelerator 4000 de Sun. La variable LD_LIBRARY_PATH indique : /usr/lib/mps/secv2/ a. Chargez le module. # /usr/bin/mps/modutil -dbdir /etc/opt/SUNWps/cert/default -add "Sun Crypto Accelerator 4000"...
Page 214: Création Et Installation D'un Certificat De Serveur
3. Envoyez la demande de certificat dans fichier-sortie à l'autorité de certification de votre choix. Placez le certificat encodé en base 64 dans un fichier texte appelé fichiercert. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 215: Pour Installer Le Certificat De Serveur
Pour installer le certificat de serveur 1. Installez le certificat de serveur # /usr/bin/mps/certutil -A -d . -h nom-jeton -t "Pu,Pu,Pu" -a -i fichiercert -n surnom Affichage et installation des certificats de l'autorité de certification racine Sun ONE Portal Server inclut plusieurs certificats d'autorités de certification racine de confiance et en cours de certification.
Page 216: Pour Activer Le Serveur De Portail Pour Ssl
Gateway >> Security >> Enable SSL Cipher Selection: >> SSL3 Ciphers: >> SSL3_RSA_WITH_3DES_EDE_CBC_SHA or SSL3_RSA_WITH_DES_CBC_SHA 3. Modifiez le /etc/opt/SUNWps/platform.conf.nom-profil-passerelle pour activer la carte. gateway.enable.accelerator=true Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 217 4. À partir d'une fenêtre de terminal, redémarrez la passerelle. # InstallDir/SUNWps/bin/gateway -n gateway-profile-name start La passerelle vous invite à saisir le mot de passe du stockage de clés. Saisissez le mot de passe ou le code PIN lorsqu'il vous est demandé de saisir sra-stockageclés:nomutilisateur:motpasse.
Page 218 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 219: Installation Et Configuration Du Logiciel Du Serveur Web Apache
», page 201 « Configuration de la carte Sun Crypto Accelerator 1000 pour une utilisation avec Apache après installation du logiciel de la carte Crypto Accelerator 4000 de Sun », page 202 Les conditions logicielles requises pour la configuration du serveur Web Apache pour une utilisation avec la carte sont les suivantes : Apache Web Server 1.3.26 ou une version ultérieure (la version 1.3.26 est fournie...
Page 220: Configuration Du Serveur Web Apache 1.3X
2. Remplacez ServerName par le nom de votre serveur dans le fichier httpd.conf. 3. Démarrez apsslcfg. # /opt/SUNWconn/cryptov2/bin/apsslcfg 4. Sélectionnez 1 pour configurer votre serveur Web Apache pour l'utilisation de SSL. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 221 Remarque – Cette procédure suppose que vous avez sélectionné l'option 1 à l'invite. Si vous souhaitez sélectionner l'option 2, reportez-vous à « Utilisation du script apsslcfg », page 105. Sun Crypto Accelerator Apache Installation --------------------------------------------------------- This script will install the Sun Crypto Accelerator cryptographic modules for Apache.
Page 222 Attention – Vous devez vous souvenir de la phrase-clé que vous avez saisie. Sans elle, vous ne pourrez pas accéder à vos clés. Il est impossible de récupérer une phrase-clé oubliée. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 223: Pour Créer Un Certificat De Serveur
Pour créer un certificat de serveur 1. Créez une demande de certificat en utilisant les clés que vous venez de créer à l'aide des instructions de l'étape 7 de la section « Pour configurer le serveur Web Apache », page 190. a.
Page 224 LoadModule ssl_module /usr/apache/libexec/mod_ssl.so.numéro-version In the AddModule section, add the following: AddModule mod_ssl.c Remarque – Le numéro-version approprié apparaîtra lors de la configuration. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 225 3. Si vous choisissez de ne pas configurer un VirtualHost, les directives SSLEngine, SSLCertificateFile et SSLCertificateKeyFile doivent être placées dans le fichier httpd.conf, juste au-dessus de la directive SSLPassPhraseDialog. You may need a virtual host directive similar to what is shown below: <VirtualHost _default_:443>...
Page 226: Pour Installer Le Certificat De Serveur
à inclure lors de la création du serveur Web ainsi que la façon de configurer Apache 2.x pour une utilisation avec la carte. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 227: Création Du Serveur Web Apache 2.X
Création du serveur Web Apache 2.x Afin de démarrer cette procédure, votre instance OpenSSL doit être dotée de tous les correctifs requis. Cette section ne traite que des options spécifiques à la carte et ne représente donc pas une série complète d'instructions pour la création de l'intégralité de la suite Apache 2.x.
Page 228: Configuration Du Serveur Web Apache 2.X
2. Entrez le mot de passe pour protéger le fichier de clés. Enter PEM pass phrase: Verifying - Enter PEM pass phrase: Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 229: Pour Installer Le Certificat De Serveur
3. Entrez les valeurs du DN (Distinguished Name) (Voir le TABLEAU 6-2 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.
Page 230: Pour Activer Ssl
Remarque – Reportez-vous à la documentation de mod_SSL et d'OpenSSL pour de plus amples informations sur la façon d'auto-signer un certificat pour un test. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 231: Configuration Du Serveur Web Apache Pour Qu'il Démarre Sans Intervention De L'utilisateur Lors D'un Redémarrage
Configuration du serveur Web Apache pour qu'il démarre sans intervention de l'utilisateur lors d'un redémarrage Vous pouvez activer le serveur Web Apache pour qu'il démarre automatiquement lors du redémarrage avec une clé chiffrée. Pour créer une clé chiffrée pour un démarrage automatique du serveur Web Apache au redémarrage 1.
Page 232: Configuration De La Carte Sun Crypto Accelerator 1000 Pour Une Utilisation Avec Apache Après Installation Du Logiciel De La Carte Crypto Accelerator 4000 De Sun
: Pour Apache 1.3.26 – Correctif 113146-01 ou ultérieur Pour le logiciel Sun Crypto Accelerator 1000 version 1.1 – Correctif 113355-01 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 233: Diagnostics Et Dépannage
« Utilisation de kstat pour déterminer l'activité cryptographique », page 212 « Utilisation du test automatique OpenBoot PROM FCode », page 213 « Dépannage de la Carte Crypto Accelerator 4000 de Sun », page 216 Logiciel de diagnostics SunVTS Le wrapper SunVTS fournit un contrôle de tests et une interface utilisateur pour un ensemble de tests.
Page 234: Installation De La Prise En Charge Netlbtest Et Nettest De Sunvts Pour Le Pilote Vca
Par exemple, si vous avez utilisé la commande pkgadd pour installer les progiciels, utilisez la commande pkgrm pour les supprimer. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 235: Utilisation Du Logiciel Sunvts Pour Exécuter Vcatest, Nettest Et Netlbtest
Si la colonne « Correctif de recouvrement requis » du contient une TABLEAU 7-1 entrée, utilisez la commande patchadd pour installer ce correctif sur les progiciels SunVTS mentionnés dans la colonne « Logiciel SunVTS de base ». Ne supprimez pas les progiciels SunVTS précédemment installés avant d'avoir ajouté...
Page 236 (Exécution de tests). Ces options sont des commandes générales de SunVTS qui concernent tous les tests. Reportez-vous au guide d'utilisation de SunVTS pour obtenir des informations détaillées. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 237: Options De Paramètres De Test Pour Vcatest
9. Une fois toutes les sélections effectuées, sélectionnez « Apply » (Appliquer) pour fermer la boîte de dialogue et pour retourner à la fenêtre principale de diagnostics SunVTS. 10. Sélectionnez « Start » (Démarrer) pour exécuter les tests sélectionnés. 11. Cliquez sur « Stop » pour arrêter tous les tests. Options de paramètres de test pour vcatest décrit les sous-tests vcatest.
Page 238: Pour Exécuter Netlbtest
Reportez-vous au guide d'utilisation de SunVTS pour obtenir des instructions de démarrage détaillées. Les instructions suivantes supposent que SunVTS a été démarré à l'aide de l'interface utilisateur CDE. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 239 2. Dans la fenêtre principale de diagnostics SunVTS, configurez la carte du système sur le mode logique. Remarque – Le mode physique est également pris en charge ; cependant, cette procédure suppose que vous utilisez le mode logique. 3. Désactivez tous les tests en désélectionnant les cases. 4.
Page 240: Pour Exécuter Nettest
5. Désélectionnez toutes les cases du groupe « Network » qui ne sont pas nommées vcaN(nettest). Notez que N spécifie l'emplacement du numéro d'instance du périphérique testé. Si un vcaN(nettest) est affiché, passez à l'étape 6. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 241 Si un vcaN(nettest) n'est pas affiché, saisissez ifconfig -a dans une autre fenêtre sur le serveur où réside la carte vcaN. Il devrait y avoir une entrée répertoriée comme suit : up inet adresse-ip plumb Si l'entrée ifconfig précédente n'est pas répertoriée, la recherche nettest ne prend pas en compte le périphérique à...
Page 242: Utilisation De Kstat Pour Déterminer L'activité Cryptographique
« jobs », sont envoyées à la carte Crypto Accelerator 4000 de Sun. Une modification de la valeur « tâches » au cours du temps indique que la carte Crypto Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 243: Utilisation Du Test Automatique Openboot Prom Fcode
Accelerator 4000 de Sun accélère les requêtes cryptographiques qui lui sont envoyées. Si les requêtes ne sont pas envoyées à la carte, vérifiez la configuration de votre serveur Web selon la configuration spécifique de ce dernier. N'essayez pas d'interpréter les valeurs statistiques du noyau/pilote renvoyées par kstat(1M).
Page 244: Exécution Du Diagnostic De Test Automatique Ethernet Fcode
/pci@8,600000/network@1 Remarque – Pour exécuter le test automatique suivant avec la commande test, le port Ethernet doit être connecté à un réseau. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 245 Test de bouclage interne ; Test de liaison ascendante/descendante. Remarque – Le test automatique de l'adaptateur UTP Crypto Accelerator 4000 de Sun pour une connexion de 1 000 Mbits/s n'est pas pris en charge pour l'utilisation avec un câble de bouclage externe, car l'horloge de liaison ne peut pas être réorganisée.
Page 246: Dépannage De La Carte Crypto Accelerator 4000 De Sun
Dans l'exemple précédent, l'entrée /pci@8,600000/network@1 identifie le chemin du périphérique vers la carte. Chaque carte du système sera associée à une ligne de ce type. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 247: Properties
.properties Pour déterminer si les propriétés du périphérique Crypto Accelerator 4000 de Sun sont correctement répertoriées : dans l'invite ok, saisissez .properties pour afficher la liste des .propriétés. ok .properties assigned-addresses 82000810 00000000 00102000 00000000 00002000 81000814 00000000 00000400 00000000 00000100...
Page 248: Watch-Net
’X’ chaque fois qu'il reçoit un paquet contenant une erreur qui peut être détectée par l'interface matérielle du réseau. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 249: Interface Pkcs#11
« Développement d'applications pour l'utilisation de PKCS#11 », page 226 Informations générales La carte Crypto Accelerator 4000 de Sun et le logiciel qui lui est associé offrent une interface PKCS#11. Toutes les fonctions PKCS#11 nécessaires à la plupart des applications sont fournies dans le logiciel de Crypto Accelerator 4000 de Sun.
Page 250 PKCS#11. (Le nom de jeton est le nom séparé par des espaces du stockage de clés qui lui est associé, attribué par le responsable de la sécurité.) Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 251: Administration De La Carte Pour L'utilisation De Pkcs
Administration de la carte pour l'utilisation de PKCS#11 Le système Crypto Accelerator 4000 de Sun est administré grâce à l'utilitaire vcaadm (Voir la section chapitre 4). Le responsable de la sécurité donne un nom au stockage de clés et crée des comptes utilisateur, chaque compte se voyant attribuer un mot de passe initial.
Page 252: Installation Et Administration Des Applications Utilisant Des Services Cryptographiques
Si la carte est en mode FIPS, elle ne peut fournir que des mécanismes agréés FIPS (Voir la section « PKCS#11 et mode FIPS », page 223). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 253: Pkcs#11 Et Mode Fips
Lorsqu'elle est mise en mode FIPS par le responsable de la sécurité (à l'aide de vcaadm), la carte carte Crypto Accelerator 4000 de Sun est conforme à la norme FIPS 140-2 niveau 3. Vous trouverez des informations détaillées sur cette norme à...
Page 254 CKM_DES3_... sauf CKM_DES3_ECB CKM_DSA CKM_MD5 sauf en mode FIPS CKM_RSA_... CKM_SHA_1 hardware_wrap_mechanism_set = CKM_AES_CBC_PAD CKM_CDMF_CBC_PAD CKM_DES_CBC_PAD CKM_DES3_CBC_PAD CKM_RC2_CBC_PAD sauf en mode FIPS Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 255 Pour que les opérations s'exécutent de façon sûre dans le matériel, la clé doit être dans hardware_key_set et le mécanisme dans hardware_mechanism_set. Si la clé se trouve dans hardware_key_set mais que le mécanisme n'est pas dans hardware_mechanism_set, l'opération peut être accélérée par le matériel, mais avec une aide logicielle.
Page 256: Développement D'applications Pour L'utilisation De Pkcs
La bibliothèque de la carte Crypto Accelerator 4000 de Sun peut être liée comme une bibliothèque ordinaire ou ouverte de façon dynamique avec dlopen (3DL). Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 257 Les fonctions doivent être appelées de façon indirecte, comme illustré ci-dessous : rv = pk11funclist -> C_Initialize(NULL); Le logiciel de la carte Crypto Accelerator 4000 de Sun impose très peu de limites arbitraires. La plupart des ressources ne sont limitées que par la mémoire de l'hôte.
Page 258 C_SetOperationState est fournie. C_GetOperationState ne peut être exécutée que lorsque l'opération est C_Digest et que la taille totale des données entrantes ne dépasse pas 65 532 octets. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 259 C_OpenSession, le logiciel ne cède jamais le contrôle à l'application d'appel. La carte Crypto Accelerator 4000 de Sun est dotée d'un véritable générateur de chiffres aléatoires de grande qualité. Celui-ci n'a pas besoin d'être initialisé. La fonction C_SeedRandom est même rejetée avec CKR_RANDOM_SEED_NOT_SUPPORTED.
Page 260 (Voir la section « Administration de la carte pour l'utilisation de PKCS#11 », page 221). CKM_AES_CBC CKM_AES_CBC_PAD CKM_AES_ECB CKM_AES_KEY_GEN CKM_CDMF_CBC CKM_CDMF_CBC_PAD CKM_CDMF_ECB CKM_CDMF_KEY_GEN CKM_DES2_KEY_GEN CKM_DES3_CBC CKM_DES3_CBC_PAD CKM_DES3_ECB CKM_DES3_KEY_GEN CKM_DES_CBC Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 261 CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DH_PKCS_DERIVE CKM_DH_PKCS_KEY_PAIR_GEN CKM_DSA CKM_DSA_KEY_PAIR_GEN CKM_MD5 CKM_MD5_HMAC CKM_MD5_HMAC_GENERAL CKM_RC2_CBC CKM_RC2_CBC_PAD CKM_RC2_ECB CKM_RC2_KEY_GEN CKM_RC4 CKM_RC4_KEY_GEN CKM_RSA_PKCS CKM_RSA_PKCS_KEY_PAIR_GEN CKM_RSA_X_509 CKM_SHA_1 CKM_SHA_1_HMAC CKM_SHA_1_HMAC_GENERAL CKM_SSL3_KEY_AND_MAC_DERIVE CKM_SSL3_MASTER_KEY_DERIVE CKM_SSL3_MD5_MAC CKM_SSL3_PRE_MASTER_KEY_GEN CKM_SSL3_SHA1_MAC CKM_TLS_KEY_AND_MAC_DERIVE CKM_TLS_MASTER_KEY_DERIVE CKM_TLS_PRE_MASTER_KEY_GEN La taille maximale des clés RSA, DSA et Diffie-Hellman est la suivante : Taille maximale de la clé...
Page 262 Toutefois, même si cette connexion est le fait du même utilisateur, il est possible que les objets jetons n'aient pas les mêmes dénominateurs qu'auparavant. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 263: Spécifications
Cette annexe répertorie les spécifications des adaptateurs MMF et UTP Crypto Accelerator 4000 de Sun. Il comprend les sections suivantes : « Adaptateur MMF Crypto Accelerator 4000 de Sun », page 233 « Adaptateur UTP Crypto Accelerator 4000 de Sun », page 236...
Page 264 Caractéristiques du lien du connecteur SC (IEEE P802.3z) TABLEAU A-1 Caractéristique 62,5 microns MMF 50 microns MMF Portée de fonctionnement Jusqu'à 260 mètres Jusqu'à 550 mètres Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 265: Dimensions Physiques
Dimensions physiques Dimensions physiques TABLEAU A-2 Dimension Mesure Mesures métriques Longueur 12,283 pouces 312 mm Largeur 4,2 pouces 106,68 mm Spécifications de performances Spécifications de performances TABLEAU A-3 Fonctionnalités Spécification Horloge PCI 33/66 MHz max. Taux de transfert en rafale des Rafales jusqu'à...
Page 266: Spécifications De L'interface
Cette section présente les spécifications de l'adaptateur UTP Crypto Accelerator 4000 de Sun. Connecteurs illustre le connecteur de l'adaptateur UTP Crypto Accelerator 4000 FIGURE A-1 de Sun. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 267 OWNED INIT FIPS LINK Purcell, CA P101-000 Crypto Accelerator 4000 de SunConnecteur de l'adaptateur UTP FIGURE A-2 répertorie les caractéristiques du connecteur Cat-5 utilisé par TABLEAU A-7 l'adaptateur UTP Crypto Accelerator 4000 de Sun. Caractéristiques du lien du connecteur Cat-5 TABLEAU A-7 Caractéristique...
Page 268: Dimensions Physiques
Consommation électrique maximale 6,25 W à 5 V 12,75 W à 3,3 V Tolérance 5 V +/- 5 % 3,3 V +/- 5 % Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 269: Spécifications De L'interface
Spécifications de l'interface Spécifications de l'interface TABLEAU A-11 Fonctionnalités Spécification Horloge PCI 33 ou 66 MHz Interface hôte PCI 2.1 avec prise en charge d'une fréquence d'horloge de 33 ou 66 MHz et d'une tolérance à 3,3 ou 5 V Largeur de bus PCI 32 ou 64 bits Spécifications environnementales...
Page 270 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 271: Installation Du Logiciel Sans Le Script D'installation
« Désinstallation manuelle du logiciel », page 245 Installation manuelle du logiciel Le logiciel Crypto Accelerator 4000 de Sun figure sur le CD du produit. Vous devrez peut-être télécharger des correctifs à partir du site Web SunSolve (http://sunsolve.sun.com). Voir la section « Correctifs requis », page 12 pour plus d'informations.
Page 272 CD Crypto Accelerator 4000 de Sun. Une fois installé, le nom devient SUNWkcl2i. L'extension .u sur le CD signifie que ce progiciel utilise l'architecture spécifique sun4u. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 273: Installation Des Progiciels En Option
Pour installer uniquement les progiciels en option qui prennent en charge SSL pour le serveur Web Apache et qui fournissent les pages manuel en ligne de la carte Crypto Accelerator 4000 de Sun, saisissez les commandes suivantes : # cd /cdrom/cdrom0/Packages # pkgadd -d .
Page 274: Répertoires Et Fichiers
/etc/opt/SUNWconn/vca/keydata Utilitaires /opt/SUNWconn/cryptov2/bin Bibliothèques de prise en charge /opt/SUNWconn/cryptov2/lib Commandes administratives /opt/SUNWconn/cryptov2/sbin indique l'ordre hiérarchique des répertoires et des fichiers. FIGURE B-1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 275: Désinstallation Manuelle Du Logiciel
Si vous avez créé des stockages de clés (voir la section « Gestion des stockages de clés avec vcaadm », page 77), vous devez supprimer les informations de stockage de clés avec lesquelles la carte Crypto Accelerator 4000 de Sun est configurée avant de désinstaller le logiciel. La commande zeroize supprime toutes les clés matérielles, mais elle ne supprime pas les fichiers de stockage de clés stockés dans le système de...
Page 276: Pour Désinstaller Le Logiciel Manuellement
à jour les tests disponibles. Pour plus d'informations, consultez votre documentation SunVTS. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 277 Directives de configuration SSL pour le serveur Web Apache Cette annexe répertorie les directives d'utilisation du logiciel Crypto Accelerator 4000 de Sun afin de configurer la prise en charge SSL du serveur Web Apache. Ces directives de configuration se trouvent dans votre fichier http.conf. Pour plus d'informations, reportez-vous à...
Page 278 443 (le port HTTPS standard). Si elle n'est pas présente, le protocole est désactivé par défaut. 3. 4SSLProtocol [+-]protocole Contexte : global, hôte virtuel Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 279 Cette directive configure le(s) protocole(s) que le serveur doit utiliser pour les transactions SSL. Les protocoles disponibles sont répertoriés et décrits dans le TABLEAU C-1 Protocoles SSL TABLEAU C-1 Protocole Description Protocole SSL standard d'origine de Netscape SSLv2 Version mise à jour du protocole SSL, prise en charge par la plupart SSLv3 des navigateurs Web Mise à...
Page 280 3DES (168 bits) SHA1 EDH-RSA-DES-CBC3-SHA SSLv3 3DES (168 bits) SHA1 EDH-DSS-DES-CBC3-SHA SSLv3 DES (56 bits) SHA1 EDH-RSA-DES-CBC-SHA SSLv3 DES (56 bits) SHA1 EDH-DSS-DES-CBC-SHA Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 281 Chiffrements SSL disponibles (suite) TABLEAU C-2 Échange Label du chiffrement Protocole de clés Authent. Chiffrement Type SSLv3 DES (40 bits) SHA1 export EXP-EDH-RSA-DES-CBC-SHA (512 bits) SSLv3 DES (40 bits) SHA1 export EXP-EDH-DSS-DES-CBC-SHA (512 bits) SSLv3 Aucun DES (40 bits) SHA1 export EXP-ADH-DES-CBC-SHA (512 bits)
Page 282 Les certificats de la chaîne sont censés être valides également pour une authentification des clients, lorsque cette pratique (SSLVerifyClient) est utilisée. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 283 8. SSLCACertificateFile fichier Contexte : global, hôte virtuel Cette directive précise l'emplacement d'un fichier contenant la concaténation des certificats destinés aux autorités de certification, utilisé pour l'authentification des clients. 9. SSLCARevocationFile fichier Contexte : global, hôte virtuel Cette directive précise l'emplacement d'un fichier contenant la concaténation des listes de révocation de certificat des autorités de certifications, utilisé...
Page 284 (-). Si plusieurs options peuvent s'appliquer à un répertoire, l'option la plus restrictive est utilisée ; les options ne sont pas fusionnées. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 285 Les options sont répertoriées et décrites dans le TABLEAU C-7 Options SSL disponibles TABLEAU C-7 Options Description Un ensemble standard de variables d'environnement CGI/SSI liées à StdEnvVars SSL est créé. Les performances en seront affectées. Provoque l'exportation des variables d'environnement ExportCertData SSL_SERVER_CERT, SSL_CLIENT_CERT et SSL_CLIENT_CERT_CHAINn (n = 0, 1, ...).
Page 286 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 287 Ces informations sur la création d'applications pour l'utilisation du logiciel et du matériel Crypto Accelerator 4000 de Sun sont fournies en l'état et ne constituent pas un élément officiellement pris en charge. Ces informations peuvent s'avérer utiles, mais ne sont fournies sans aucune garantie. Si vous souhaitez obtenir une solution prise en charge par Sun, veuillez contacter les services professionnels de Sun pour en savoir plus.
Page 288 Incluez les bibliothèques cryptographiques de Sun. Les attributs d'éditeur de liens suivants effectuent les commandes suivantes : -L/opt/SUNWconn/cryptov2/lib -R/opt/SUNWconn/cryptov2/lib \ -lcrypto -lssl -lkcl Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 289 Remarque – Les licences et les avertissements de tiers inclus dans cette annexe sont présentés exactement sous la forme sous laquelle ils ont été fournis par leurs détenteurs. Sun Microsystems, Inc. Contrat de licence relatif au code binaire LISEZ ATTENTIVEMENT LES TERMES ET CONDITIONS DE CE CONTRAT ET DE TOUT CONTRAT SUPPLÉMENTAIRE FOURNI (COLLECTIVEMENT APPELÉS...
Page 290 Sun si vous ne vous conformez pas à l'une de ses clauses. En cas de résiliation, vous devez détruire toutes les copies du Logiciel. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 291 Aucune modification apportée à ce Contrat n'aura force de loi, à moins qu'elle ne soit écrite et signée par les représentants autorisés de chaque partie. Si vous avez des questions, contactez : Sun Microsystems, Inc. 4150 Network Circle, Santa Clara, California 95054, États-Unis.
Page 292 2. Les redistributions sous forme binaire doivent reproduire le copyright ci-dessus, cette liste de conditions et le déni de responsabilité suivant dans la documentation et/ou dans le matériel distribué. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 293 3. Le matériel publicitaire faisant état des caractéristiques ou de l'utilisation de ce logiciel doivent mentionner la déclaration suivante : « Ce produit comprend un logiciel développé par le projet OpenSSL en vue d'être utilisé dans le Toolkit OpenSSL (http://www.openssl.org/) ». 4.
Page 294 PERTE D'UTILISATION, DE DONNÉES OU DE PROFITS OU L'INTERRUPTION D'ACTIVITÉS COMMERCIALES), QUELLE QU'EN SOIT LA CAUSE ET QUELLE QUE SOIT LA RESPONSABILITÉ MISE EN CAUSE, QU'ELLE SOIT Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 295 CONTRACTUELLE, OBJECTIVE OU DÉLICTUELLE (NOTAMMENT LA NÉGLIGENCE), DOMMAGE CONSÉCUTIF À L'UTILISATION DE CE LOGICIEL, MÊME SI L'ÉVENTUALITÉ DE TELS DOMMAGES A ÉTÉ MENTIONNÉE. Il est interdit de modifier la licence et les conditions de distribution de toute version ou tout dérivé de ce code disponible au public. Par exemple, le code suivant ne peut pas être copié...
Page 296 SOIT CONTRACTUELLE, OBJECTIVE OU DÉLICTUELLE (NOTAMMENT LA NÉGLIGENCE), DOMMAGE CONSÉCUTIF À L'UTILISATION DE CE LOGICIEL, MÊME SI L'ÉVENTUALITÉ DE TELS DOMMAGES A ÉTÉ MENTIONNÉE. Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 297 Pages du manuel Cette annexe offre une description des commandes et des utilitaires fournis dans le logiciel de la carte Crypto Accelerator 4000 de Sun et répertorie les pages manuel en ligne de chacun d'eux. Pour afficher les pages du manuel en ligne, exécutez la commande suivante : man -M /opt/SUNWconn/man nompage répertorie et décrit les pages du manuel en ligne disponibles.
Page 298 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 299 A N N EXE Remise à zéro du matériel L'annexe décrit les procédures de remise à zéro de la carte Crypto Accelerator 4000 de Sun, qui restaure l'état par défaut de la carte. La carte est telle qu'elle l'était à sa sortie d'usine, c'est-à-dire en mode Failsafe.
Page 300 Les broches 1 et 2 sont les broches les plus proches du support. Il existe quatre jeux de deux broches. Placez le cavalier sur la broche 1 et 2 comme indiqué dans la FIGURE G-1 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 301 7. Mettez le système sous tension. 8. Établissez la connexion à la carte Crypto Accelerator 4000 de Sun avec vcaadm. vcaadm vous invite à entrer un chemin de mise à niveau du microprogramme. 9. Saisissez /opt/SUNWconn/cryptov2/firmware/sca4000fw comme chemin pour l'installation du microprogramme.
Page 302 Guide de l'utilisateur et d'installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 303 Index SYMBOLES adv-asmpause-cap, 29 adv-asmpause-cap, paramètre, 29 $HOME/.vcaadm/trustdb, 67 adv-autoneg-cap, 27 .properties, commande, 217 adv-autoneg-cap, paramètre, 27 .u, extension, 20, 242 affectation d'une adresse IP, 58 /etc/apache/default.pass, 248 affichage de l'état de la carte, 85 /etc/apache/ aléatoire, paramètres de dépôt anticipé, 33 servername.port.keytype.pass, 248 algorithmes, 6 /etc/driver_aliases, fichier, 41...
Page 304 Web Sun ONE, 117 etc/hostname.vcaN, fichier, 59 configuration réseau, 58 etc/hosts, fichier, 59 connexion à chaud, 11 etc/path_to_inst, fichier, 41 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 305 Ethernet compteurs de réception, 54 IEEE 802.3x, 29 compteurs de transmission, 54 ifconfig, commande, 58 diagnostics de test automatique FCode, 214 incréments des compteurs chargeables 16 bits, 49 MMF, 26 infinit-burst, 27 propriétés, 51 infinit-burst, paramètre, 27 propriétés PCI, 55 statistiques sur le fonctionnement du pilote, 47 initialisation de la carte, 23, 245 statistiques sur le pilote, 48...
Page 306 29 configuration avec le fichier vca.conf, 40, 42 configuration pour tous les périphériques vca, 42 dépôt anticipé, 33 infinit-burst, 27 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 307 interface de bus PCI, 34 prise en charge interruption, 32 algorithmes, 6 intervalle entre les paquets, 31 algorithmes cryptographiques, 4 ipg0, 31 algorithmes SSL, 6 ipg1, 31 environnements d'exploitation, 12 ipg2, 31 environnements d'exploitation Solaris, 12 liaison, 28 logiciel, 12 libcrypto.a, 258 matériel, 12 libssl.a, 258...
Page 308 122 spécifications environnementales, 239 installation, 121 statistiques sur le fonctionnement, 47 installation d'un certificat de serveur, 128 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...
Page 309 serveur Web Sun ONE 6.0 création d'une base de données certifiée, 133 valeurs de paramètre génération d'un certificat de serveur, 135 modification et affichage, 37 installation, 132, 143 valeurs de suppression, 32 installation d'un certificat de serveur, 139 valeurs de suppression de trame d'interruption de Sun, bibliothèques cryptographiques, 258 réception, 27, 32 SunVTS, 204, 205...
Page 310 83 vitesse= 1 000, 44 10, 44 100, 44 automatique, 44 watch-net, commande, 218 zeroize, commande, 270 Guide de l’utilisateur et d’installation de la carte Crypto Accelerator 4000 de Sun Version 1.1 • Janvier 2004...

Sun Microsystems Crypto Accelerator 4000 Guide De L'utilisateur Et D'installation

Table des Matières

Administration de la Carte Crypto Accelerator 4000 de Sun

Installation et Configuration D'un Serveur Web Sun One

Installation et Configuration de Sun One Application Server

Installation et Configuration de Sun One Directory Server

Installation et Configuration de Sun One Messaging Server 5

Liens rapides

Chapitres

Dépannage

Manuels Connexes pour Sun Microsystems Crypto Accelerator 4000

Sommaire des Matières pour Sun Microsystems Crypto Accelerator 4000