Como usar sslkeytool para gerar novos certificados do Enforce Server e do servidor de detecção

Depois de instalar o
Symantec Data Loss Prevention
, use o argumento
-genkey
com sslkeytool para gerar novos certificados para o Enforce Server e para os servidores de detecção. A Symantec recomenda que você substitua o certificado padrão usado para a comunicação segura entre servidores por certificados exclusivos e autoassinados. O argumento
-genkey
gera dois arquivos de certificado automaticamente. Armazene um certificado no Enforce Server e o segundo certificado em cada servidor de detecção. O comando opcional
-alias
permite gerar um arquivo de certificado exclusivo para cada servidor de detecção em seu sistema. Para usar
-alias
, você deve primeiro criar um arquivo de alias que relacione o nome de cada alias criado.
As etapas a seguir destinam-se à geração de certificados exclusivos para o Enforce Server e servidores de detecção ao mesmo tempo. Se você precisar gerar um ou mais certificados do servidor de detecção depois que o certificado do Enforce Server for gerado, o procedimento será diferente. Como usar sslkeytool para adicionar novos certificados do servidor de detecção
  1. Faça logon no computador do Enforce Server com a conta de usuário SymantecDLP que você criou durante a instalação do
    Symantec Data Loss Prevention
    .
  2. Em uma janela de comando, vá para o diretório em que o utilitário sslkeytool estiver armazenado:
    No Windows, esse diretório é
    C:\Arquivos de programas\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\bin
    .
    No Linux, esse diretório é
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin
    .
  3. Se desejar criar um arquivo de certificado dedicado para cada servidor de detecção, primeiro crie um arquivo de texto para listar os nomes de alias que deseja criar. Coloque cada alias em uma linha separada. Por exemplo:
    net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01
    O argumento
    -genkey
    cria certificados automaticamente para os aliases "enforce" e "monitor". Não adicione esses aliases ao seu arquivo de alias personalizado.
  4. Execute o utilitário sslkeytool com o argumento
    -genkey
    e o argumento opcional
    -dir
    para especificar o diretório de saída. Se você tiver criado um arquivo de alias personalizado, especifique também o argumento opcional
    -alias
    , como no seguinte exemplo:
    • Windows:
      sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
    • Linux:
      sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
    Isso gera novos certificados (arquivos de armazenamento de chave) no diretório especificado. Dois arquivos são gerados automaticamente com o argumento
    -genkey
    :
    • enforce.
      marca de data e hora
      .sslKeyStore
    • monitor.
      marca de data e hora
      .sslKeyStore
    O
    sslkeytool
    também gera arquivos individuais para todos os aliases definidos no arquivo de alias. Por exemplo:
    • net_monitor01.
      marca de data e hora
      .sslKeyStore
    • protect01.
      marca de data e hora
      .sslKeyStore
    • endpoint01.
      marca de data e hora
      .sslKeyStore
    • smtp_prevent01.
      marca de data e hora
      .sslKeyStore
    • web_prevent01.
      marca de data e hora
      .sslKeyStore
  5. Copie o arquivo de certificado cujo nome comece com
    enforce
    para o seguinte diretório no Enforce Server, de acordo com sua plataforma:
    • Windows:
      c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.00000\keystore
    • Linux:
      /var/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore
  6. Se desejar usar o mesmo arquivo de certificado com todos os servidores de detecção, copie o arquivo de certificado cujo nome comece com
    monitor
    no diretório
    keystore
    de cada servidor de detecção do sistema.
    Copie o arquivo no diretório com base em sua plataforma:
    • Windows:
      c:\ProgramData\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore
    • Linux:
      /var/Symantec/DataLossPrevention/DetectionServer/16.0.00000/keystore
    Se você tiver gerado um arquivo de certificado exclusivo para cada servidor de detecção em seu sistema, copie o arquivo de certificado apropriado no diretório
    keystore
    em cada computador do servidor de detecção.
  7. Exclua ou proteja todas as cópias adicionais dos arquivos de certificado para impedir o acesso não autorizado às chaves geradas.
  8. Reinicie o serviço
    SymantecDLPDetectionServerControllerService
    no Enforce Server e o serviço
    SymantecDLPDetectionServerService
    nos servidores de detecção.
Quando você instala um servidor do
Symantec Data Loss Prevention
, o programa de instalação cria um armazenamento de chave padrão no diretório
keystore
. Quando você copia um arquivo de certificado gerado nesse diretório, o arquivo gerado substitui o certificado padrão. Se, mais tarde, você remover o arquivo de certificado do diretório
keystore
, o
Symantec Data Loss Prevention
reverterá o arquivo de armazenamento de chave padrão incorporado no aplicativo. Esse comportamento garante que o tráfego de dados esteja sempre protegido. Observe, porém, que você não pode usar o certificado integrado com determinados servidores e um certificado gerado com outros servidores. Todos os servidores no sistema do
Symantec Data Loss Prevention
devem usar o certificado integrado ou um certificado personalizado.
Se mais de um arquivo de keystore for colocado no diretório
keystore
, o servidor não será iniciado.