środa, 17 lutego 2010

nCipher nShield F3 i OpenSSL

Generacja klucza:
/opt/nfast/bin/generatekey hwcrhk protect=module type=RSA size=2048 pubexp= ident=klucztestowy nvram=NO

Lista kluczy:
/opt/nfast/bin/nfkminfo -l

OpenSSL
Klucz publiczny:
/opt/nfast/bin/openssl rsa -engine chil -inform engine -in klucztestowy -text -pubout

Zapisanie klucza publicznego do pliku:
/opt/nfast/bin/openssl rsa -engine chil -inform engine -in klucztestowy  -pubout -out klucztestowy.pub

Generacja CSR:
/opt/nfast/bin/openssl req -engine chil -keyform engine -new -key klucztestowy -subj '/C=PL/ST=MAZ/L=Warszawa/O=RobiNET/OU=IT/CN=TESTOWY' -out klucztestowy.req

Wyświetlenie CSR:
/opt/nfast/bin/openssl req -in klucztestowy.req -text -noout

Generacja cerrtyfikatu self-signed:
/opt/nfast/bin/openssl req -engine chil -keyform engine -new -key klucztestowy -x509 -days 365  -subj '/C=PL/ST=MAZ/L=Warszawa/O=RobiNET/OU=IT/CN=TESTOWY' -out klucztestowy.pem

s_server:
/opt/nfast/bin/openssl s_server -engine chil -keyform engine -key klucztestowy -cert klucztestowy.pem -www -accept 8443

Testy (HSM)
/opt/nfast/bin/openssl s_time -connect localhost:8443 -new

1483 connections in 5.99s; 247.58 connections/user sec, bytes read
Średnie obciążenie procesora podczas testu: ~15% (~7% przy testowaniu z zdalnego hosta)

Bez HSM:
1259 connections in 5.27s; 238.90 connections/user sec, bytes read 0
Średnie obciążenie procesora podczas testu: ~52% (~42% przy testowaniu z zdalnego hosta)

Inne przykłady wykorzystania linii poleceń OpenSSL: http://www.madboa.com/geek/openssl/

Brak komentarzy: