Configuration du certificat de serveur sur le serveur Enforce

Après avoir configuré le groupe d'options AWS Oracle RDS avec SSL, configurez le pilote JDBC du serveur Enforce et le certificat de serveur. Importez le certificat AWS Oracle RDS dans le magasin de clés Java du serveur Enforce. Enfin, configurez le pilote JDBC pour qu'il utilise la connexion et le port SSL/TLS d'Oracle RDS.
Le processus suivant suppose que l'option SSL est configurée avec le port TCP 2484.
  1. Recherchez le fichier
    Jdbc.properties
    à l'emplacement
    (selon votre plate-forme)
     :
    • Windows :
      C:\Program Files\Symantec\DataLossPrevention\EnforceServer\
      16.0.10000
      \Protect\config
    • Linux :
      /opt/Symantec/DataLossPrevention/EnforceServer/
      16.0.10000
      /protect/config
  2. Modifiez les informations de port de communication et de connexion suivantes :
    • Mettez à jour la ligne
      jdbc.dbalias.oracle-thin
      de manière à utiliser le protocole TCPS.
    • Définissez le numéro de port sur
      2484
      .
      Les informations de port de communication et de connexion mises à jour doivent apparaître comme suit :
      jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))
      Vous trouverez ci-après un exemple d'informations de port de communication et de connexion. Les informations que vous utilisez diffèrent selon votre système. L'utilisation des informations suivantes en l'état peut entraîner l'échec de la configuration.
      L'exemple utilise la valeur protect comme SID de base de données et la valeur 2484 comme numéro de port TLS.
      jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))
      Les détails de certificat saisis ci-dessus sont valides pour les certificats rds-ca-2015-root et rds-ca-2019-root, mais vous devez remplacer le numéro de port par le numéro utilisé pour le port SSL dans le groupe d'options.
  3. Ajoutez le certificat au fichier
    cacerts
    qui se trouve sur le serveur Enforce en procédant comme suit :
    Remplacez
    <version>
    par la version d'OpenJRE exécutée sur votre système.
    1. Copiez le fichier de certificat Oracle RDS (
      rds-ca-2015-root.der
      ou
      rds-ca-2019-root.der
      ) à l'emplacement suivant
      (selon votre plate-forme)
       :
      • Windows :
        C:\Program Files\AdoptOpenJRE\jdk8u
        <version>
        -b10-jre\lib\security
      • Linux :
        opt/AdoptOpenJRE/jdk8u
        <version>
        -b10-jre/lib/security
    2. Modifiez le répertoire en exécutant la commande suivante correspondant
      à votre plate-forme :
      • Windows :
        cd C:\Program Files\AdoptOpenJRE\jdk8u
        <version>
        -b10-jre\lib\security
      • Linux :
        cd opt/AdoptOpenJRE/jdk8u
        <version>
        -b10-jre/lib/security
    3. Insérez le certificat dans le fichier
      cacerts
      en exécutant la commande suivante en tant qu'
      administrateur
      (sous Windows) ou en tant qu'
      utilisateur root
      (sous Linux)
      .
      keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.der
      ou
      keytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.der
      Entrez le mot de passe par défaut lorsque vous y êtes invité :
      changeit
      .
    4. Confirmez que le certificat a été ajouté en exécutant la commande suivante
      (selon votre plate-forme)
       :
      • Windows :
        keytool -list -v -keystore C:\Program Files\AdoptOpenJRE\jdk8u
        <version>
        -b10-jre\lib\security\cacerts -storepass changeit
      • Linux :
        keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u
        <version>
        -b10-jre/lib/security/cacerts -storepass changeit
  4. Redémarrez tous les services Symantec DLP.