Enforce Server でのサーバー証明書の設定
SSL を使用して AWS Oracle RDS オプショングループを設定した後、Enforce サーバーの JDBC ドライバとサーバー証明書を設定します。AWS Oracle RDS の証明書を Enforce サーバーの Java KeyStore にインポートします。最後に、Oracle RDS の SSL/TLS 接続およびポートを使用するように JDBC ドライバを設定します。
以下のプロセスでは、SSL オプションが TCP ポート 2484 で設定されていることを前提としています。
- 以下の場所でJdbc.propertiesファイルを見つけます(お使いのプラットフォームによって異なります)。
- C:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\Protect\config
- /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/config
- 次の通信ポートと接続情報を変更します。
- TCPS を使用するようにjdbc.dbalias.oracle-thin行を更新します。
- ポート番号を2484に変更します。更新された通信ポートと接続情報は次のように表示されるはずです。jdbc.dbalias.oracle-thin=@(description=(address=(host=[oracle host name]) (protocol=tcps)(port=2484))(connect_data=(service_name=protect)) (SSL_SERVER_CERT_DN="CN=oracleserver"))完了した通信ポートと接続情報の例を以下に示します。使用する情報はお使いのシステムによって異なります。以下の情報をそのまま使用すると、設定が失敗する場合があります。この例では、データベース SID に「protect」、TLS ポートに「2484」を使用します。jdbc.dbalias.oracle-thin=@(description=(address=(host=oracle-rds-dns-name) (protocol=tcps)(port=2484))(connect_data=(service_name=protect) (SSL_SERVER_CERT_DN="C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS, CN=oracle-rds-dns-name")))上記で指定された証明書の詳細は、rds-ca-2015-root 証明書および rds-ca-2019-root 証明書で有効ですが、ポート番号をオプショングループの SSL ポートで使用される番号に置き換えてください。
- 次の手順を完了して、証明書を Enforce Server にあるcacertsファイルに追加します。<バージョン>をお使いのシステムで実行されている OpenJRE バージョンに置き換えます。
- Oracle RDS 証明書(rds-ca-2015-root.derまたはrds-ca-2019-root.der)ファイルを以下の場所にコピーします(お使いのプラットフォームによって異なります)。
- C:\Program Files\AdoptOpenJRE\jdk8u<バージョン>-b10-jre\lib\security
- opt/AdoptOpenJRE/jdk8u<バージョン>-b10-jre/lib/security
- 以下のコマンドを実行し、ディレクトリを変更します。
- cd C:\Program Files\AdoptOpenJRE\jdk8u<バージョン>-b10-jre\lib\security
- cd opt/AdoptOpenJRE/jdk8u<バージョン>-b10-jre/lib/security
- cacertsファイルに証明書を挿入するには、管理者root ユーザーとして、以下のコマンドを実行します。keytool -import -alias oracleservercert -keystore cacerts -file rds-ca-2015-root.derまたはkeytool -import -alias oracleservercert2019 -keystore cacerts -file rds-ca-2019-root.der求められた場合、デフォルトのパスワードchangeitを入力します。
- 以下のコマンドを実行して証明書が追加されたことを確認します。
- keytool -list -v -keystore C:\Program Files\AdoptOpenJRE\jdk8u<バージョン>-b10-jre\lib\security\cacerts -storepass changeit
- keytool -list -v -keystore opt/AdoptOpenJRE/jdk8u<バージョン>-b10-jre/lib/security/cacerts -storepass changeit
- すべての SymantecDLP サービスを再起動します。Symantec Data Loss Prevention サービスについて を参照してください。