検出サーバーの新しい証明書を追加するための sslkeytool の使用
既存の
Symantec Data Loss Prevention
配備の新しい証明書ファイルを生成するには、sslkeytool を -alias
引数とともに使います。このコマンド形式を使う場合は、sslkeytool が、生成される新しい検出サーバー証明書ファイルに Enforce サーバーの証明書を埋め込むことができるように、Enforce サーバーの現在のキーストアファイルを指定する必要があります。検出サーバーの新しい証明書を追加するための sslkeytool の使用 に 1 つ以上の新しい検出サーバー証明書を生成する方法を示します。
- 検出サーバーの新しい証明書を生成するには
- Symantec Data Loss Preventionのインストール時に作成した「SymantecDLP」ユーザーアカウントを使って Enforce Server コンピュータにログオンします。
- コマンドウィンドウから、sslkeytool ユーティリティが格納されている bin ディレクトリに移動します。
- Windows:C:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\bin
- Linux:/opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin
- 検出サーバーの新しい証明書ファイルを格納するディレクトリを作成します。次に例を示します。mkdir new_certificates
- Enforce Server の証明書ファイルを新しいディレクトリにコピーします。プラットフォームに基づくコマンドの例を以下に示します。
- Windows コマンド:copy ..\keystore\enforce.Fri_Jun_12_11_24_20_PDT_2016.sslkeyStore .\new_certificates
- Linux コマンド:cp ../keystore/enforce.Fri_Jun_12_11_24_20_PDT_2016.sslkeyStore ./new_certificates
- 作成する新しいサーバーエイリアスの名前をリストするテキストファイルを作成します。エイリアスは各行に 1 つずつ配置します。次に例を示します。network02 smtp_prevent02
- -alias引数と-dir引数 (出力ディレクトリを指定する場合) を指定して sslkeytool ユーティリティを実行します。また、証明書ディレクトリにコピーした Enforce Server の証明書ファイルの名前を指定します。コマンドの例を以下に示します。
- Windows コマンド:sslkeytool -alias=.\aliases.txt -enforce=enforce.Fri_Jun_10_11_24_20_PDT_2016.sslkeyStore -dir=.\new_certificates
- Linux コマンド:sslkeytool -alias=./aliases.txt -enforce=enforce.Fri_Jun_10_11_24_20_PDT_2016.sslkeyStore -dir=./new_certificates
このコマンドは、各エイリアスの新しい証明書ファイルを生成し、指定したディレクトリに新しいファイルを格納します。各証明書ファイルは、指定した Enforce Server キーストアの Enforce Server 証明書も含んでいます。 - 新しい各証明書ファイルを適切な検出サーバーコンピュータの keystore ディレクトリにコピーします。
- Windows:c:\Program Data\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore。
- Linux:/opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore。
検出サーバー (monitor.date.sslkeystore) の新しい証明書を作成すると、Enforce Server 証明書ファイル (enforce.date.sslkeystore) は新しい検出サーバーそれぞれの状況に合わせて更新されます。更新した Enforce Server 証明書をキーストアのディレクトリにコピーして置換し、新しく生成した検出サーバー証明書それぞれにこの処理を繰り返す必要があります。 - 生成されたキーへの無断アクセスを防ぐために、証明書ファイルの追加コピーは削除するか保護します。
- 新しい証明書ファイルを使うには、各検出サーバーでSymantecDLPDetectionServerServiceサービスを再起動します。