Uso de sslkeytool para generar nuevos certificados de Enforce Server y del servidor de detección

Después de instalar
Symantec Data Loss Prevention
, se debe usar el argumento
-genkey
con sslkeytool para generar nuevos certificados para Enforce Server y los servidores de detección. Symantec recomienda reemplazar el certificado predeterminado usado para proteger la comunicación entre los servidores por certificados únicos autofirmados. El argumento
-genkey
genera dos archivos de certificado automáticamente. Un certificado se almacena en Enforce Server y el otro, en cada servidor de detección. El comando opcional
-alias
permite generar un archivo de certificado único para cada servidor de detección del sistema. Para usar
-alias,
primero se debe crear un archivo de alias que incluya una lista con los nombres de cada alias que se desee crear.
Los pasos que se detallan a continuación permiten generar los certificados únicos para Enforce Server y los servidores de detección de forma simultánea. En el caso que sea necesario generar uno o más certificados para los servidores de detección después de generar el certificado de Enforce Server, el procedimiento es diferente. Uso de sslkeytool para agregar nuevos certificados de servidor de detección
  1. Inicie sesión en el equipo de Enforce Server mediante la cuenta de usuario "SymantecDLP" que se ha creado durante la instalación de
    Symantec Data Loss Prevention
    .
  2. Mediante una ventana de comandos, vaya al directorio en el que se encuentra almacenada la utilidad sslkeytool:
    En Windows, este directorio es
    c:\Archivos de programa\Symantec\DataLossPrevention\EnforceServer\16.0.10000\Protect\bin
    .
    En Linux, este directorio es
    /opt/Symantec/DataLossPrevention/EnforceServer/
    16.0.10000
    /protect/bin
    .
  3. Si desea crear un archivo de certificado dedicado para cada servidor de detección, primero deberá crear un archivo de texto que incluya la lista de los nombres de alias que desea crear. Escriba cada alias en una línea aparte. Por ejemplo:
    net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01
    El argumento
    -genkey
    crea automáticamente certificados para los alias "enforce" y "monitor". No agregue estos alias al archivo de alias personalizado.
  4. Ejecute la utilidad sslkeytool con el argumento
    -genkey
    y el argumento opcional
    -dir
    para especificar el directorio de salida. Si ha creado un archivo de alias personalizado, especifique también el argumento opcional
    -alias
    , como en el ejemplo siguiente:
    • Windows:
      sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
    • Linux:
      sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
    Se generan los nuevos certificados (archivos del almacén de claves) en el directorio especificado. De forma automática, se generan dos archivos con el argumento
    -genkey
    :
    • enforce.
      marca de tiempo
      .sslKeyStore
    • monitor.
      marca de tiempo
      .sslKeyStore
    Además
    sslkeytool
    generará archivos individuales para cualquier alias que se haya definido en el archivo de alias. Por ejemplo:
    • net_monitor01.
      marca de tiempo
      .sslKeyStore
    • protect01.
      marca de tiempo
      .sslKeyStore
    • endpoint01.
      marca de tiempo
      .sslKeyStore
    • smtp_prevent01.
      marca de tiempo
      .sslKeyStore
    • web_prevent01.
      marca de tiempo
      .sslKeyStore
  5. Copie el archivo de certificado cuyo nombre empiece por
    enforce
    en el siguiente directorio de Enforce Server, en función de la plataforma:
    • Windows:
      c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
    • Linux:
      /var/Symantec/DataLossPrevention/EnforceServer/
      16.0.10000
      /keystore
  6. Si desea usar el mismo archivo de certificado con todos los servidores de detección, copie el archivo de certificado cuyo nombre empiece por
    monitor
    en el directorio
    keystore
    de cada servidor de detección del sistema.
    Copie el archivo en el directorio siguiente, en función de la plataforma:
    • Windows:
      c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
    • Linux:
      /var/Symantec/DataLossPrevention/EnforceServer/
      16.0.10000
      /keystore
    Si ha generado un archivo de certificado único para cada servidor de detección del sistema, copie el archivo de certificado apropiado en el directorio
    keystore
    de cada equipo del servidor de detección.
  7. Elimine o proteja las copias adicionales de los archivos de certificado para evitar el acceso no autorizado a las claves generadas.
  8. Reinicie el servicio
    SymantecDLPDetectionServerControllerService
    en Enforce Server y el servicio
    SymantecDLPDetectionServerService
    en los servidores de detección.
Cuando se instala un servidor de
Symantec Data Loss Prevention
, el programa de instalación crea un almacén de claves predeterminado en el directorio
keystore
. Cuando se copia en este directorio un archivo de certificado generado, este sobrescribe el certificado predeterminado. Si en un futuro se elimina el archivo de certificado del directorio
keystore
,
Symantec Data Loss Prevention
revierte el archivo el almacén de claves predeterminado, integrado dentro de la aplicación. Este comportamiento permite que el tráfico de datos esté siempre protegido. Sin embargo, tenga en cuenta que no se puede usar el certificado integrado con ciertos servidores y un certificado generado con otros servidores. Todos los servidores del sistema de
Symantec Data Loss Prevention
deben usar o bien el certificado integrado, o bien un certificado personalizado.
Si se agrega más de un archivo del almacén de claves en el directorio
keystore
, el servidor no se inicia.