Utilisation de l'utilitaire sslkeytool pour générer d'autres certificats de serveur Enforce et de serveur de détection
Après avoir installé
Symantec Data Loss Prevention
, utilisez l¡argument -genkey
avec l'utilitaire sslkeytool pour générer de nouveaux certificats pour le serveur Enforce et les serveurs de détection. Symantec vous recommande de remplacer le certificat par défaut par des certificats auto-signés uniques pour sécuriser les communications entre les serveurs. L'argument -genkey
génère automatiquement deux fichiers de certificat. Stockez un certificat sur le serveur Enforce et le deuxième sur chaque serveur de détection. La commande facultative -alias
vous permet de générer un fichier de certificat unique pour chaque serveur de détection présent dans votre système. Pour utiliser la commande -alias
, créez d'abord créer un fichier d'alias qui répertorie le nom de chaque alias créé.Les étapes suivantes permettent de générer en même temps des certificats uniques pour le serveur Enforce et les serveurs de détection. Si vous devez générer un ou plusieurs certificats de serveur de détection après la génération du certificat de serveur Enforce, la procédure est différente. Utilisation de l'utilitaire sslkeytool pour ajouter d'autres certificats de serveur de détection
- Connectez-vous à l'ordinateur du serveur Enforce à l'aide du compte utilisateur "SymantecDLP" que vous avez créé lors de l'installation deSymantec Data Loss Prevention.
- Dans une fenêtre de commande, accédez au répertoire dans lequel l'utilitaire sslkeytool est stocké :Sous Windows, ce répertoire estc:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.10000\Protect\bin.Sous Linux, ce répertoire est/opt/Symantec/DataLossPrevention/EnforceServer/.16.0.10000/protect/bin
- Si vous voulez créer un fichier de certificat dédié pour chaque serveur de détection, créez d'abord un fichier texte pour répertorier les noms d'alias que vous voulez créer. Placez chaque alias sur une ligne distincte. Par exemple :net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01L'argument-genkeycrée automatiquement des certificats pour les alias "enforce" et "monitor". N'ajoutez pas ces alias à votre fichier d'alias personnalisé.
- Exécutez l'utilitaire sslkeytool avec l'argument-genkeyet l'argument facultatif-dirpour spécifier le répertoire de sortie. Si vous avez créé un fichier d'alias personnalisé, spécifiez également l'argument facultatif-alias, comme dans l'exemple suivant :
- Windows :sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
- Linux :sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
Cela génère de nouveaux certificats (fichiers de référentiel de clés) dans le répertoire spécifié. Deux fichiers sont générés automatiquement avec l'argument-genkey:- enforce.timestamp.sslKeyStore
- monitor.timestamp.sslKeyStore
L'utilitairesslkeytoolgénère également des fichiers spécifiques pour tous les alias définis dans le fichier d'alias. Par exemple :- net_monitor01.timestamp.sslKeyStore
- protect01.timestamp.sslKeyStore
- endpoint01.timestamp.sslKeyStore
- smtp_prevent01.timestamp.sslKeyStore
- web_prevent01.timestamp.sslKeyStore
- Copiez le fichier de certificat dont le nom commence parenforcedans le répertoire suivant sur le serveur Enforce, en fonction de votre plate-forme :
- Windows :c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
- Linux :/var/Symantec/DataLossPrevention/EnforceServer/16.0.10000/keystore
- Pour utiliser le même fichier de certificat avec tous les serveurs de détection, copiez le fichier de certificat dont le nom commence parmonitordans le répertoirekeystorede chaque serveur de détection installé sur votre système.Copiez le fichier dans le répertoire en fonction de votre plate-forme :
- Windows :c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.10000\keystore
- Linux :/var/Symantec/DataLossPrevention/EnforceServer/16.0.10000/keystore
Si vous avez généré un seul fichier de certificat pour chaque serveur de détection de votre système, copiez le fichier de certificat approprié dans le répertoirekeystoresur chaque serveur de détection. - Supprimez ou sécurisez toutes les copies supplémentaires des fichiers de certificat pour empêcher l'accès non autorisé aux clés générées.
- Redémarrez le serviceSymantecDLPDetectionServerControllerServicesur le serveur Enforce et le serviceSymantecDLPDetectionServerServicesur les serveurs de détection.
Lorsque vous installez un serveur
Symantec Data Loss Prevention
, le programme d'installation crée un référentiel de clés par défaut dans le répertoire keystore
. Lorsque vous copiez un fichier de certificat généré dans ce répertoire, le fichier généré remplace le certificat par défaut. Si vous supprimez ultérieurement le fichier de certificat du répertoire keystore
, Symantec Data Loss Prevention
rétablit le fichier de référentiel de clés par défaut intégré dans l'application. Ce comportement garantit que le trafic de données est toujours protégé. Notez toutefois que vous ne pouvez pas utiliser le certificat intégré avec certains serveurs et un certificat généré avec d'autres serveurs. Tous les serveurs du système Symantec Data Loss Prevention
doivent utiliser le certificat intégré ou un certificat personnalisé.Si plusieurs fichiers de référentiel de clés sont placés dans le répertoire
keystore
, le serveur ne démarre pas.