Como configurar o certificado de servidor no Enforce Server

Depois de configurar o Grupo de opções do AWS RDS para Oracle com SSL, configure o driver JDBC do Enforce Server e o certificado do servidor. Importe o certificado do AWS RDS para Oracle no armazenamento de chave do Java do Enforce Server. Por último, configure o driver do JDBC para usar a conexão e a porta de SSL/TLS do RDS para Oracle.
O processo a seguir supõe que a opção SSL está configurada com a porta TCP 2484.
  1. Encontre o arquivo
    Jdbc.properties
    no seguinte local
    (de acordo com a sua plataforma)
    :
    • C:\Arquivos de Programas\Symantec\DataLossPrevention\EnforceServer\16.0.00000\Protect\config
    • /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/config
  2. Modifique as seguintes informações de conexão e porta de comunicação:
    • Atualize a linha
      thin jdbc.dbalias.oracle
      para usar TCPS.
    • Altere o número da porta para
      2484
      .
      As informações atualizadas de conexão e porta de comunicação devem ser exibidas da seguinte maneira:
      jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))
      Veja a seguir um exemplo de como devem ser as informações completas de conexão e porta de comunicação. As informações usadas variam de acordo com o seu sistema. Usar as informações a seguir como estão pode fazer com que a configuração falhe.
      O exemplo usa "protect" para o SID do banco de dados e "2484" para a porta TLS.
      jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))
      Os detalhes de certificado fornecidos acima são válidos para os certificados rds-ca-2015-root e rds-ca-2019-root, mas você substitui o número da porta pelo número usado para a porta SSL no grupo de opções.
  3. Adicione o certificado ao arquivo
    cacerts
    que está localizado no Enforce Server executando as seguintes etapas:
    Substitua
    <version>
    pela versão do OpenJRE em execução no sistema.
    1. Copie o arquivo de certificado RDS para Oracle (
      rds-ca-2015-root.der
      ou
      rds-ca-2019-root.der
      ) no seguinte local
      (de acordo com a sua plataforma)
      :
      • C:\Arquivos de Programas\AdoptOpenJRE\jdk8u
        <versão>
        -b10-jre\lib\security
      • opt/AdoptOpenJRE/jdk8u
        <versão>
        -b10-jre/lib/security
    2. Altere o diretório executando o seguinte comando :
      • cd C:\Arquivos de Programas\AdoptOpenJRE\jdk8u
        <versão>
        -b10-jre\lib\security
      • cd opt/AdoptOpenJRE/jdk8u
        <versão>
        -b10-jre/lib/security
    3. Insira o certificado no arquivo
      cacerts
      executando o comando a seguir como
      administrador
      como usuário raiz
      :
      keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.der
      ou
      keytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.der
      Digite a senha padrão quando for solicitado:
      changeit
      .
    4. Confirme se o certificado foi adicionado executando o seguinte comando :
      • keytool -list -v -keystore C:\Arquivos de Programas\AdoptOpenJRE\jdk8u
        <versão>
        -b10-jre\lib\security\cacerts -storepass changeit
      • keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u
        <versão>
        -b10-jre/lib/security/cacerts -storepass changeit
  4. Reinicie todos os serviços do Symantec DLP.