Enforce サーバーでのサーバー証明書の設定

SSL を使用して AWS Oracle RDS オプショングループを設定した後、Enforce サーバーの JDBC ドライバとサーバー証明書を設定します。AWS Oracle RDS の証明書を Enforce サーバーの Java KeyStore にインポートします。最後に、Oracle RDS の SSL/TLS 接続およびポートを使用するように JDBC ドライバを設定します。
以下のプロセスでは、SSL オプションが TCP ポート 2484 で設定されていることを前提としています。
  1. 以下の場所で
    Jdbc.properties
    ファイルを見つけます
    (お使いのプラットフォームによって異なります)
    • Windows:
      C:\Program Files\Symantec\DataLossPrevention\EnforceServer\
      16.0.10000
      \Protect\config
    • Linux:
      /opt/Symantec/DataLossPrevention/EnforceServer/
      16.0.10000
      /protect/config
  2. 次の通信ポートと接続情報を変更します。
    • TCPS を使用するように
      jdbc.dbalias.oracle-thin
      行を更新します。
    • ポート番号を
      2484
      に変更します。
      更新された通信ポートと接続情報は次のように表示されるはずです。
      jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))
      完了した通信ポートと接続情報の例を以下に示します。使用する情報はお使いのシステムによって異なります。以下の情報をそのまま使用すると、設定が失敗する場合があります。
      この例では、データベース SID に「protect」、TLS ポートに「2484」を使用します。
      jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))
      上記で指定された証明書の詳細は、rds-ca-2015-root 証明書および rds-ca-2019-root 証明書で有効ですが、ポート番号をオプショングループの SSL ポートで使用される番号に置き換えてください。
  3. 次の手順を完了して、証明書を Enforce Server にある
    cacerts
    ファイルに追加します。
    <バージョン>
    をお使いのシステムで実行されている OpenJRE バージョンに置き換えます。
    1. Oracle RDS 証明書(
      rds-ca-2015-root.der
      または
      rds-ca-2019-root.der
      )ファイルを以下の場所にコピーします
      (お使いのプラットフォームによって異なります)
      • Windows:
        C:\Program Files\AdoptOpenJRE\jdk8u
        <バージョン>
        -b10-jre\lib\security
      • Linux:
        opt/AdoptOpenJRE/jdk8u
        <バージョン>
        -b10-jre/lib/security
    2. 以下のコマンドを実行し、ディレクトリを変更します
      (お使いのプラットフォームによって異なります)
      • Windows:
        cd C:\Program Files\AdoptOpenJRE\jdk8u
        <バージョン>
        -b10-jre\lib\security
      • Linux:
        cd opt/AdoptOpenJRE/jdk8u
        <バージョン>
        -b10-jre/lib/security
    3. cacerts
      ファイルに証明書を挿入するには、
      管理者
      (Windows の場合)または
      root ユーザー
      (Linux の場合)
      として、以下のコマンドを実行します。
      keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.der
      または
      keytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.der
      求められた場合、デフォルトのパスワード
      changeit
      を入力します。
    4. 以下のコマンドを実行して証明書が追加されたことを確認します
      (お使いのプラットフォームによって異なります)
      • Windows:
        keytool -list -v -keystore C:\Program Files\AdoptOpenJRE\jdk8u
        <バージョン>
        -b10-jre\lib\security\cacerts -storepass changeit
      • Linux:
        keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u
        <バージョン>
        -b10-jre/lib/security/cacerts -storepass changeit
  4. すべての SymantecDLP サービスを再起動します。
    Symantec Data Loss Prevention サービス を参照してください。