À propos des options de ligne de commande sslkeytool

L'utilitaire de ligne de commande sslkeytool permet de générer une paire unique de certificats SSL (fichiers de magasin de clés).
Il se trouve dans le répertoire suivant, d'après votre plate-forme :
  • Windows :
    c:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\Protect\bin
  • Linux :
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin
Il doit être exécuté sous le compte d'utilisateur du système d'exploitation
Symantec Data Loss Prevention
, qui est défini sur « protect » par défaut. En outre, vous devez exécuter l'utilitaire sslkeytool directement sur le serveur Enforce.
Le tableau ci-dessous répertorie les commandes et options disponibles pour l'utilitaire sslkeytool :
Commandes et options disponibles pour l'utilitaire sslkeytool
Commandes et options
Description
sslKeyTool -genkey [-dir=<directory> -alias=<aliasFile>]
Utilisez cette commande la première fois que vous générez des certificats uniques pour votre installation de
Symantec Data Loss Prevention
.
Cette commande génère deux certificats uniques (fichiers de magasin de clés) par défaut : un pour le serveur Enforce et un autre pour les autres serveurs de détection. L'argument
-dir
facultatif spécifie le répertoire dans lequel les fichiers de magasin de clés doivent être placés.
L'argument
-alias
facultatif génère des fichiers de magasin de clés supplémentaires pour chaque alias spécifié dans
aliasFile
. Vous pouvez utiliser le fichier d'alias pour générer des certificats uniques pour chaque serveur de détection présent dans votre système (plutôt que d'utiliser le même certificat sur chaque serveur de détection).
sslKeyTool -list=<file>
Cette commande répertorie le contenu du fichier de magasin de clés spécifié.
sslKeyTool -alias=<aliasFile> -enforce=<enforceKeystoreFile> [-dir=<directory>]
Utilisez cette commande pour ajouter de nouveaux certificats de serveur de détection à une installation de
Symantec Data Loss Prevention
existante.
Cette commande génère plusieurs fichiers de certificat pour les serveurs de détection à l'aide des alias que vous définissez dans
aliasFile
. Vous devez spécifier un fichier de magasin de clés de serveur Enforce existant à utiliser lors de la génération des nouveaux fichiers de magasin de clés de serveur de détection. L'argument
-dir
facultatif spécifie le répertoire dans lequel les fichiers de magasin de clés doivent être placés.
Si vous ne spécifiez pas l'option
-dir
, le fichier de magasin de clés du serveur Enforce doit se trouver dans le répertoire actuel ; les certificats de moniteur apparaîtront dans le répertoire actuel. Si vous spécifiez l'argument
-dir
, vous devez également placer le fichier de magasin de clés du serveur Enforce dans le répertoire spécifié.
Le tableau ci-dessous fournit des exemples qui illustrent l'utilisation des commandes et des options de l'utilitaire sslkeytool.
Exemples de commandes et d'options disponibles pour l'utilitaire sslkeytool
Exemple
Description
sslkeytool -genkey
Cette commande génère deux fichiers :
  • enforce.
    timestamp
    .sslKeyStore
  • monitor.
    timestamp
    .sslKeyStore
Sauf si vous avez spécifié un répertoire différent avec l'argument
-dir
, ces deux fichiers de magasin de clés sont créés dans le répertoire
bin
où réside l'utilitaire sslkeytool.
sslkeytool -alias=Monitor.list.txt -enforce=enforce.date.sslkeystore
Sans l'option de répertoire
-dir
, le certificat du serveur Enforce doit se trouver dans le répertoire actuel. Le ou les nouveaux certificats de serveur de détection seront créés dans le répertoire actuel.
Windows :
sslkeytool -alias=Monitor.list.txt -enforce=enforce.date.sslkeystore -dir=C:\TEMP
Linux :
sslkeytool -alias=Monitor.list.txt -enforce=enforce.date.sslkeystore -dir=opt/temp
Avec l'option de répertoire
-dir=C:\TEMP
pour Widnows ou
-dir=opt/temp
pour Linux, le certificat du serveur Enforce doit se trouver dans le répertoire
C:\TEMP
ou
opt/temp
, respectivement. Le ou les nouveaux certificats de serveur de détection seront créés dans le répertoire
C:\TEMP
ou
opt/temp
.
Utilisez le chemin d'accès absolu pour l'option
-dir
, sauf si le chemin d'accès est relatif au répertoire actuel.