Tomcat トラストストアへの認証局 (CA) 証明書の追加

Symantec Data Loss Prevention
で証明書認証を使うには、システムでユーザーを認証するために必要なすべての CA 証明書を Tomcat トラストストアに追加する必要があります。
Symantec Data Loss Prevention
15.0 以降では、CA 証明書は Java keytool ユーティリティを使うことによってのみ Enforce Server にインポートできます。各 X.509 証明書は、
.cer
ファイルで Distinguished Encoding Rules (DER) 形式で提供される必要があります。証明書連鎖を確立するために複数の CA が必要な場合は、複数の
.cer
ファイルを追加する必要があります。
  1. CA 証明書を Tomcat トラストストアに追加するには
  2. Symantec Data Loss Prevention
    のインストール時に作成したユーザーアカウントを使って Enforce Server コンピュータにログオンします。
    別の root または管理者アカウントから、設定ファイルの許可や所有権を変更しないでください。
  3. ディレクトリを
    /opt/Symantec/DataLossPrevention/EnforceServer/
    16.0.10000
    /Protect/tomcat/conf
    (Linux) または
    c:\Program Files\Symantec\DataLossPrevention\EnforceServer\
    16.0.10000
    \Protect\tomcat\conf
    (Windows) に変更します。
    Symantec Data Loss Prevention
    を別のディレクトリにインストールした場合は、正しいパスを代入します。
  4. インポートするすべての証明書ファイル (
    .cer
    ファイル) を Enforce Server コンピュータの
    conf
    ディレクトリにコピーします。
  5. Symantec Data Loss Prevention
    とともにインストールされる
    keytool
    ユーティリティを使って証明書を Tomcat トラストストアに追加します。Windows システムでは、次を入力します。
    c:\Program Files\Symantec\DataLossPrevention\EnforceServer\jre\bin\keytool -import -trustcacerts -alias
    CA_CERT_1
    -file
    certificate_1.cer
    -keystore .\truststore.jks
    Linux システムでは、次を入力します。
    /opt/Symantec/DataLossPrevention/jre/bin/keytool -import -trustcacerts -alias
    CA_CERT_1
    -file
    certificate_1.cer
    -keystore ./truststore.jks
    これらのコマンドでは、インポートする証明書の一意なエイリアスで
    CA_CERT_1
    を置き換えます。
    certificate_1.cer
    は Enforce Server コンピュータにコピーした証明書ファイルの名前に置き換えます。
  6. keytool
    ユーティリティによって入力を求められるキーストアに対するパスワードを入力します。デフォルトのキーストアパスワードは
    protect
    です。
  7. 証明書連鎖の完了に必要なすべての証明書ファイルをインストールするためにこれらの手順を繰り返します。
  8. Symantec DLP Manager サービスを停止してから再起動し、変更を適用します。
  9. デフォルトの Tomcat キーストアパスワードを変更していない場合は、この時点で変更します。