Como configurar o certificado do servidor no Enforce Server
Depois de configurar o Grupo de opções do AWS RDS para Oracle com SSL, configure o driver JDBC do Enforce Server e o certificado do servidor. Importe o certificado do AWS RDS para Oracle no armazenamento de chave do Java do Enforce Server. Por último, configure o driver do JDBC para usar a conexão e a porta de SSL/TLS do RDS para Oracle.
O processo a seguir supõe que a opção SSL está configurada com a porta TCP 2484.
- Encontre o arquivoJdbc.propertiesno seguinte local(de acordo com a sua plataforma):
- Windows:C:\Arquivos de Programas\Symantec\DataLossPrevention\EnforceServer\16.0.10000\Protect\config
- Linux:/opt/Symantec/DataLossPrevention/EnforceServer/16.0.10000/protect/config
- Modifique as seguintes informações de conexão e porta de comunicação:
- Atualize a linhathin jdbc.dbalias.oraclepara usar TCPS.
- Altere o número da porta para2484.As informações atualizadas de conexão e porta de comunicação devem ser exibidas da seguinte maneira:jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))Veja a seguir um exemplo de como devem ser as informações completas de conexão e porta de comunicação. As informações usadas variam de acordo com o seu sistema. Usar as informações a seguir como estão pode fazer com que a configuração falhe.O exemplo usa "protect" para o SID do banco de dados e "2484" para a porta TLS.jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))Os detalhes de certificado fornecidos acima são válidos para os certificados rds-ca-2015-root e rds-ca-2019-root, mas você substitui o número da porta pelo número usado para a porta SSL no grupo de opções.
- Adicione o certificado ao arquivocacertsque está localizado no Enforce Server executando as seguintes etapas:Substitua<version>pela versão do OpenJRE em execução no sistema.
- Copie o arquivo de certificado RDS para Oracle (rds-ca-2015-root.derourds-ca-2019-root.der) no seguinte local(de acordo com a sua plataforma):
- Windows:C:\Arquivos de Programas\AdoptOpenJRE\jdk8u<versão>-b10-jre\lib\security
- Linux:opt/AdoptOpenJRE/jdk8u<versão>-b10-jre/lib/security
- Altere o diretório executando o seguinte comando(de acordo com a sua plataforma):
- Windows:cd C:\Arquivos de Programas\AdoptOpenJRE\jdk8u<versão>-b10-jre\lib\security
- Linux:cd opt/AdoptOpenJRE/jdk8u<versão>-b10-jre/lib/security
- Insira o certificado no arquivocacertsexecutando o comando a seguir comoadministrador(no Windows) oucomo usuário raiz(no Linux):keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.deroukeytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.derDigite a senha padrão quando for solicitado:changeit.
- Confirme se o certificado foi adicionado executando o seguinte comando(de acordo com a sua plataforma):
- Windows:keytool -list -v -keystore C:\Arquivos de Programas\AdoptOpenJRE\jdk8u<versão>-b10-jre\lib\security\cacerts -storepass changeit
- Linux:keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u<versão>-b10-jre/lib/security/cacerts -storepass changeit
- Reinicie todos os serviços do Symantec DLP.