Como usar sslkeytool para gerar novos certificados do Enforce Server e do servidor de detecção
Depois de instalar o
Symantec Data Loss Prevention
, use o argumento -genkey
com sslkeytool para gerar novos certificados para o Enforce Server e para os servidores de detecção. A Symantec recomenda que você substitua o certificado padrão usado para a comunicação segura entre servidores por certificados exclusivos e autoassinados. O argumento -genkey
gera dois arquivos de certificado automaticamente. Armazene um certificado no Enforce Server e o segundo certificado em cada servidor de detecção. O comando opcional -alias
permite gerar um arquivo de certificado exclusivo para cada servidor de detecção em seu sistema. Para usar -alias
, você deve primeiro criar um arquivo de alias que relacione o nome de cada alias criado.As etapas a seguir destinam-se à geração de certificados exclusivos para o Enforce Server e servidores de detecção ao mesmo tempo. Se você precisar gerar um ou mais certificados do servidor de detecção depois que o certificado do Enforce Server for gerado, o procedimento será diferente. Como usar sslkeytool para adicionar novos certificados do servidor de detecção
- Faça logon no computador do Enforce Server com a conta de usuário SymantecDLP que você criou durante a instalação doSymantec Data Loss Prevention.
- Em uma janela de comando, vá para o diretório em que o utilitário sslkeytool estiver armazenado:No Windows, esse diretório éC:\Arquivos de programas\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\bin.No Linux, esse diretório é/opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin.
- Se desejar criar um arquivo de certificado dedicado para cada servidor de detecção, primeiro crie um arquivo de texto para listar os nomes de alias que deseja criar. Coloque cada alias em uma linha separada. Por exemplo:net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01O argumento-genkeycria certificados automaticamente para os aliases "enforce" e "monitor". Não adicione esses aliases ao seu arquivo de alias personalizado.
- Execute o utilitário sslkeytool com o argumento-genkeye o argumento opcional-dirpara especificar o diretório de saída. Se você tiver criado um arquivo de alias personalizado, especifique também o argumento opcional-alias, como no seguinte exemplo:
- Windows:sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
- Linux:sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
Isso gera novos certificados (arquivos de armazenamento de chave) no diretório especificado. Dois arquivos são gerados automaticamente com o argumento-genkey:- enforce.marca de data e hora.sslKeyStore
- monitor.marca de data e hora.sslKeyStore
Osslkeytooltambém gera arquivos individuais para todos os aliases definidos no arquivo de alias. Por exemplo:- net_monitor01.marca de data e hora.sslKeyStore
- protect01.marca de data e hora.sslKeyStore
- endpoint01.marca de data e hora.sslKeyStore
- smtp_prevent01.marca de data e hora.sslKeyStore
- web_prevent01.marca de data e hora.sslKeyStore
- Copie o arquivo de certificado cujo nome comece comenforcepara o seguinte diretório no Enforce Server, de acordo com sua plataforma:
- Windows:c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.00000\keystore
- Linux:/var/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore
- Se desejar usar o mesmo arquivo de certificado com todos os servidores de detecção, copie o arquivo de certificado cujo nome comece commonitorno diretóriokeystorede cada servidor de detecção do sistema.Copie o arquivo no diretório com base em sua plataforma:
- Windows:c:\ProgramData\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore
- Linux:/var/Symantec/DataLossPrevention/DetectionServer/16.0.00000/keystore
Se você tiver gerado um arquivo de certificado exclusivo para cada servidor de detecção em seu sistema, copie o arquivo de certificado apropriado no diretóriokeystoreem cada computador do servidor de detecção. - Exclua ou proteja todas as cópias adicionais dos arquivos de certificado para impedir o acesso não autorizado às chaves geradas.
- Reinicie o serviçoSymantecDLPDetectionServerControllerServiceno Enforce Server e o serviçoSymantecDLPDetectionServerServicenos servidores de detecção.
Quando você instala um servidor do
Symantec Data Loss Prevention
, o programa de instalação cria um armazenamento de chave padrão no diretório keystore
. Quando você copia um arquivo de certificado gerado nesse diretório, o arquivo gerado substitui o certificado padrão. Se, mais tarde, você remover o arquivo de certificado do diretório keystore
, o Symantec Data Loss Prevention
reverterá o arquivo de armazenamento de chave padrão incorporado no aplicativo. Esse comportamento garante que o tráfego de dados esteja sempre protegido. Observe, porém, que você não pode usar o certificado integrado com determinados servidores e um certificado gerado com outros servidores. Todos os servidores no sistema do Symantec Data Loss Prevention
devem usar o certificado integrado ou um certificado personalizado.Se mais de um arquivo de keystore for colocado no diretório
keystore
, o servidor não será iniciado.