Configuración del certificado de servidor en Enforce Server
Después de configurar el grupo de opciones de AWS Oracle RDS con SSL, configure el controlador JDBC de Enforce Server y el certificado de servidor. Se importa el certificado de AWS Oracle RDS en el almacén de claves de Java de Enforce Server. Por último, configure el controlador JDBC para utilizar la conexión y el puerto SSL/TLS de Oracle RDS.
El proceso siguiente asume que la opción SSL está configurada con el puerto TCP 2484.
- Localice el archivojdbc.propertiesen la ubicación(basada en la plataforma):
- C:\Archivos de programa\Symantec\DataLossPrevention\EnforceServer\16.0.00000\Protect\config
- /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/config
- Modifique la siguiente información sobre el puerto de comunicación y la conexión:
- Actualice la líneajdbc.dbalias.oracle-thinpara utilizar TCPS.
- Cambie el número de puerto a2484.La información actualizada sobre el puerto de comunicación y la conexión debe aparecer de la siguiente manera:jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))A continuación se muestra un ejemplo de cómo pueden verse los puertos de comunicación y la información de conexión completados. La información que se usa difiere en función del sistema. El uso de la siguiente información tal como está puede hacer que se produzca un error en la configuración.El ejemplo usa "protect" para el SID de la base de datos y "2484" para el puerto TLS.jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))Los detalles del certificado proporcionados anteriormente son válidos para los certificados rds-ca-2015-root y rds-ca-2019-root, pero se reemplaza el número de puerto por el número usado para el puerto SSL en el grupo de opciones.
- Agregue el certificado al archivocacertsque se encuentra en Enforce Server completando los pasos siguientes:Reemplace<versión>con la versión de OpenJRE que se ejecuta en su sistema.
- Copie el certificado de Oracle RDS (rds-ca-2015-root.derords-ca-2019-root.der) en la ubicación siguiente(según la plataforma):
- C:\Archivos de programa\AdoptOpenJRE\jdk8u<versión>-b10-jre\lib\security
- opt/AdoptOpenJRE/jdk8u<versión>-b10-jre/lib/security
- Cambie el directorio ejecutando el comando siguiente :
- cd C:\Archivos de programa\AdoptOpenJRE\jdk8u<versión>-b10-jre\lib\security
- cd opt/AdoptOpenJRE/jdk8u<versión>-b10-jre/lib/security
- Inserte el certificado en el archivocacertsejecutando el comando siguiente comoadministradorcomo usuario raíz:keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.derokeytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.derIntroduzca la contraseña predeterminada cuando se le pida:changeit.
- Confirme que se ha agregado el certificado ejecutando el comando siguiente :
- keytool -list -v -keystore C:\Archivos de programa\AdoptOpenJRE\jdk8u<versión>-b10-jre\lib\security\cacerts -storepass changeit
- keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u<versión>-b10-jre/lib/security/cacerts -storepass changeit
- Reinicie todos los servicios de Symantec DLP.