Uso de sslkeytool para generar nuevos certificados de Enforce Server y del servidor de detección
Después de instalar
Symantec Data Loss Prevention
, se debe usar el argumento -genkey
con sslkeytool para generar nuevos certificados para Enforce Server y los servidores de detección. Symantec recomienda reemplazar el certificado predeterminado usado para proteger la comunicación entre los servidores por certificados únicos autofirmados. El argumento -genkey
genera dos archivos de certificado automáticamente. Un certificado se almacena en Enforce Server y el otro, en cada servidor de detección. El comando opcional -alias
permite generar un archivo de certificado único para cada servidor de detección del sistema. Para usar -alias,
primero se debe crear un archivo de alias que incluya una lista con los nombres de cada alias que se desee crear.Los pasos que se detallan a continuación permiten generar los certificados únicos para Enforce Server y los servidores de detección de forma simultánea. En el caso que sea necesario generar uno o más certificados para los servidores de detección después de generar el certificado de Enforce Server, el procedimiento es diferente. Uso de sslkeytool para agregar nuevos certificados de servidor de detección
- Inicie sesión en el equipo de Enforce Server mediante la cuenta de usuario "SymantecDLP" que se ha creado durante la instalación deSymantec Data Loss Prevention.
- Mediante una ventana de comandos, vaya al directorio en el que se encuentra almacenada la utilidad sslkeytool:En Windows, este directorio esc:\Archivos de programa\Symantec\DataLossPrevention\EnforceServer\16.0.10000\Protect\bin.En Linux, este directorio es/opt/Symantec/DataLossPrevention/EnforceServer/.16.0.10000/protect/bin
- Si desea crear un archivo de certificado dedicado para cada servidor de detección, primero deberá crear un archivo de texto que incluya la lista de los nombres de alias que desea crear. Escriba cada alias en una línea aparte. Por ejemplo:net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01El argumento-genkeycrea automáticamente certificados para los alias "enforce" y "monitor". No agregue estos alias al archivo de alias personalizado.
- Ejecute la utilidad sslkeytool con el argumento-genkeyy el argumento opcional-dirpara especificar el directorio de salida. Si ha creado un archivo de alias personalizado, especifique también el argumento opcional-alias, como en el ejemplo siguiente:
- Windows:sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
- Linux:sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
Se generan los nuevos certificados (archivos del almacén de claves) en el directorio especificado. De forma automática, se generan dos archivos con el argumento-genkey:- enforce.marca de tiempo.sslKeyStore
- monitor.marca de tiempo.sslKeyStore
Ademássslkeytoolgenerará archivos individuales para cualquier alias que se haya definido en el archivo de alias. Por ejemplo:- net_monitor01.marca de tiempo.sslKeyStore
- protect01.marca de tiempo.sslKeyStore
- endpoint01.marca de tiempo.sslKeyStore
- smtp_prevent01.marca de tiempo.sslKeyStore
- web_prevent01.marca de tiempo.sslKeyStore
- Copie el archivo de certificado cuyo nombre empiece porenforceen el siguiente directorio de Enforce Server, en función de la plataforma:
- Windows:c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
- Linux:/var/Symantec/DataLossPrevention/EnforceServer/16.0.10000/keystore
- Si desea usar el mismo archivo de certificado con todos los servidores de detección, copie el archivo de certificado cuyo nombre empiece pormonitoren el directoriokeystorede cada servidor de detección del sistema.Copie el archivo en el directorio siguiente, en función de la plataforma:
- Windows:c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
- Linux:/var/Symantec/DataLossPrevention/EnforceServer/16.0.10000/keystore
Si ha generado un archivo de certificado único para cada servidor de detección del sistema, copie el archivo de certificado apropiado en el directoriokeystorede cada equipo del servidor de detección. - Elimine o proteja las copias adicionales de los archivos de certificado para evitar el acceso no autorizado a las claves generadas.
- Reinicie el servicioSymantecDLPDetectionServerControllerServiceen Enforce Server y el servicioSymantecDLPDetectionServerServiceen los servidores de detección.
Cuando se instala un servidor de
Symantec Data Loss Prevention
, el programa de instalación crea un almacén de claves predeterminado en el directorio keystore
. Cuando se copia en este directorio un archivo de certificado generado, este sobrescribe el certificado predeterminado. Si en un futuro se elimina el archivo de certificado del directorio keystore
, Symantec Data Loss Prevention
revierte el archivo el almacén de claves predeterminado, integrado dentro de la aplicación. Este comportamiento permite que el tráfico de datos esté siempre protegido. Sin embargo, tenga en cuenta que no se puede usar el certificado integrado con ciertos servidores y un certificado generado con otros servidores. Todos los servidores del sistema de Symantec Data Loss Prevention
deben usar o bien el certificado integrado, o bien un certificado personalizado.Si se agrega más de un archivo del almacén de claves en el directorio
keystore
, el servidor no se inicia.