Utilisation de l'utilitaire sslkeytool pour générer d'autres certificats de serveur Enforce et de serveur de détection

Après avoir installé
Symantec Data Loss Prevention
, utilisez l¡argument
-genkey
avec l'utilitaire sslkeytool pour générer de nouveaux certificats pour le serveur Enforce et les serveurs de détection. Symantec vous recommande de remplacer le certificat par défaut par des certificats auto-signés uniques pour sécuriser les communications entre les serveurs. L'argument
-genkey
génère automatiquement deux fichiers de certificat. Stockez un certificat sur le serveur Enforce et le deuxième sur chaque serveur de détection. La commande facultative
-alias
vous permet de générer un fichier de certificat unique pour chaque serveur de détection présent dans votre système. Pour utiliser la commande
-alias
, créez d'abord créer un fichier d'alias qui répertorie le nom de chaque alias créé.
Les étapes suivantes permettent de générer en même temps des certificats uniques pour le serveur Enforce et les serveurs de détection. Si vous devez générer un ou plusieurs certificats de serveur de détection après la génération du certificat de serveur Enforce, la procédure est différente. Utilisation de l'utilitaire sslkeytool pour ajouter d'autres certificats de serveur de détection
  1. Connectez-vous à l'ordinateur du serveur Enforce à l'aide du compte utilisateur "SymantecDLP" que vous avez créé lors de l'installation de
    Symantec Data Loss Prevention
    .
  2. Dans une fenêtre de commande, accédez au répertoire dans lequel l'utilitaire sslkeytool est stocké :
    Sous Windows :
    C:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\bin
    Sous Linux :
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin
  3. Si vous voulez créer un fichier de certificat dédié pour chaque serveur de détection, créez d'abord un fichier texte pour répertorier les noms d'alias que vous voulez créer. Placez chaque alias sur une ligne distincte. Par exemple :
    net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01
    L'argument
    -genkey
    crée automatiquement des certificats pour les alias "enforce" et "monitor". N'ajoutez pas ces alias à votre fichier d'alias personnalisé.
  4. Exécutez l'utilitaire sslkeytool avec l'argument
    -genkey
    et l'argument facultatif
    -dir
    pour spécifier le répertoire de sortie. Si vous avez créé un fichier d'alias personnalisé, spécifiez également l'argument facultatif
    -alias
    , comme dans l'exemple suivant :
    • Windows :
      sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
    • Linux :
      sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
    Cela génère de nouveaux certificats (fichiers de magasin de clés) dans le répertoire spécifié. Deux fichiers sont générés automatiquement avec l'argument
    -genkey
     :
    • enforce.
      timestamp
      .sslKeyStore
    • monitor.
      timestamp
      .sslKeyStore
    L'utilitaire
    sslkeytool
    génère également des fichiers spécifiques pour tous les alias définis dans le fichier d'alias. Par exemple :
    • net_monitor01.
      timestamp
      .sslKeyStore
    • protect01.
      timestamp
      .sslKeyStore
    • endpoint01.
      timestamp
      .sslKeyStore
    • smtp_prevent01.
      timestamp
      .sslKeyStore
    • web_prevent01.
      timestamp
      .sslKeyStore
  5. Copiez le fichier de certificat dont le nom commence par
    enforce
    dans le répertoire suivant sur le serveur Enforce, en fonction de votre plate-forme :
    • Windows :
      c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.00000\keystore
    • Linux :
      /var/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore
  6. Pour utiliser le même fichier de certificat avec tous les serveurs de détection, copiez le fichier de certificat dont le nom commence par
    monitor
    dans le répertoire
    keystore
    de chaque serveur de détection installé sur votre système.
    Copiez le fichier dans le répertoire en fonction de votre plate-forme :
    • Windows :
      c:\ProgramData\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore
    • Linux :
      /var/Symantec/DataLossPrevention/DetectionServer/16.0.00000/keystore
    Si vous avez généré un seul fichier de certificat pour chaque serveur de détection de votre système, copiez le fichier de certificat approprié dans le répertoire
    keystore
    sur chaque serveur de détection.
  7. Supprimez ou sécurisez toutes les copies supplémentaires des fichiers de certificat pour empêcher l'accès non autorisé aux clés générées.
  8. Redémarrez le service
    SymantecDLPDetectionServerControllerService
    sur le serveur Enforce et le service
    SymantecDLPDetectionServerService
    sur les serveurs de détection.
Lorsque vous installez un serveur
Symantec Data Loss Prevention
, le programme d'installation crée un magasin de clés par défaut dans le répertoire
keystore
. Lorsque vous copiez un fichier de certificat généré dans ce répertoire, le fichier généré remplace le certificat par défaut. Si vous supprimez ultérieurement le fichier de certificat du répertoire
keystore
,
Symantec Data Loss Prevention
rétablit le fichier de magasin de clés par défaut intégré dans l'application. Ce comportement garantit que le trafic de données est toujours protégé. Notez toutefois que vous ne pouvez pas utiliser le certificat intégré avec certains serveurs et un certificat généré avec d'autres serveurs. Tous les serveurs du système
Symantec Data Loss Prevention
doivent utiliser le certificat intégré ou un certificat personnalisé.
Si plusieurs fichiers de magasin de clés sont placés dans le répertoire
keystore
, le serveur ne démarre pas.