検出サーバーの新しい証明書を追加するための sslkeytool の使用

既存の
Symantec Data Loss Prevention
配備の新しい証明書ファイルを生成するには、sslkeytool を
-alias
引数とともに使います。このコマンド形式を使う場合は、sslkeytool が、生成される新しい検出サーバー証明書ファイルに Enforce サーバーの証明書を埋め込むことができるように、Enforce サーバーの現在のキーストアファイルを指定する必要があります。
検出サーバーの新しい証明書を追加するための sslkeytool の使用 に 1 つ以上の新しい検出サーバー証明書を生成する方法を示します。
  1. 検出サーバーの新しい証明書を生成するには
  2. Symantec Data Loss Prevention
    のインストール時に作成した「SymantecDLP」ユーザーアカウントを使って Enforce Server コンピュータにログオンします。
  3. コマンドウィンドウから、sslkeytool ユーティリティが格納されている bin ディレクトリに移動します。
    • Windows:
      C:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\bin
    • Linux:
      /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/bin
  4. 検出サーバーの新しい証明書ファイルを格納するディレクトリを作成します。次に例を示します。
    mkdir new_certificates
  5. Enforce Server の証明書ファイルを新しいディレクトリにコピーします。
    プラットフォームに基づくコマンドの例を以下に示します。
    • Windows コマンド:
      copy ..\keystore\enforce.Fri_Jun_12_11_24_20_PDT_2016.sslkeyStore .\new_certificates
    • Linux コマンド:
      cp ../keystore/enforce.Fri_Jun_12_11_24_20_PDT_2016.sslkeyStore ./new_certificates
  6. 作成する新しいサーバーエイリアスの名前をリストするテキストファイルを作成します。エイリアスは各行に 1 つずつ配置します。次に例を示します。
    network02 smtp_prevent02
  7. -alias
    引数と
    -dir
    引数 (出力ディレクトリを指定する場合) を指定して sslkeytool ユーティリティを実行します。また、証明書ディレクトリにコピーした Enforce Server の証明書ファイルの名前を指定します。
    コマンドの例を以下に示します。
    • Windows コマンド:
      sslkeytool -alias=.\aliases.txt -enforce=enforce.Fri_Jun_10_11_24_20_PDT_2016.sslkeyStore -dir=.\new_certificates
    • Linux コマンド:
      sslkeytool -alias=./aliases.txt -enforce=enforce.Fri_Jun_10_11_24_20_PDT_2016.sslkeyStore -dir=./new_certificates
    このコマンドは、各エイリアスの新しい証明書ファイルを生成し、指定したディレクトリに新しいファイルを格納します。各証明書ファイルは、指定した Enforce Server キーストアの Enforce Server 証明書も含んでいます。
  8. 新しい各証明書ファイルを適切な検出サーバーコンピュータの keystore ディレクトリにコピーします。
    • Windows:
      c:\Program Data\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore
    • Linux:
      /opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore
    検出サーバー (
    monitor.date.sslkeystore
    ) の新しい証明書を作成すると、Enforce Server 証明書ファイル (
    enforce.date.sslkeystore
    ) は新しい検出サーバーそれぞれの状況に合わせて更新されます。更新した Enforce Server 証明書をキーストアのディレクトリにコピーして置換し、新しく生成した検出サーバー証明書それぞれにこの処理を繰り返す必要があります。
  9. 生成されたキーへの無断アクセスを防ぐために、証明書ファイルの追加コピーは削除するか保護します。
  10. 新しい証明書ファイルを使うには、各検出サーバーで
    SymantecDLPDetectionServerService
    サービスを再起動します。