Enforce サーバーと検出サーバーの新しい証明書を生成するための sslkeytool の使用
Symantec Data Loss Prevention
をインストールした後、sslkeytool で -genkey
引数を使い、Enforce サーバーと検出サーバーの新しい証明書を生成します。シマンテック社は一意の自己署名証明書で、サーバー間の安全な通信に使われるデフォルト証明書を置換することを推奨します。-genkey
引数は自動的に 2 つの証明書ファイルを生成します。Enforce Server に 1 つの証明書を格納し、各検出サーバー上に第 2 の証明書を格納します。省略可能な -alias
コマンドは、システム内の各検出サーバーの一意の証明書ファイルを生成することを可能にします。-alias
を使うには、作成する各エイリアスの名前をリストするエイリアスファイルを最初に作成してください。以降のステップでは、Enforce Server と検出サーバーの重複のない証明書を同時に生成します。Enforce Server の証明書を生成した後で 1 つ以上の検出サーバーの証明書を生成する必要がある場合は手順が異なります。 検出サーバーの新しい証明書を追加するための sslkeytool の使用
- Symantec Data Loss Preventionのインストール時に作成した「SymantecDLP」ユーザーアカウントを使って Enforce Server コンピュータにログオンします。
- コマンドウィンドウから、sslkeytool ユーティリティが格納されているディレクトリに移動します。Windows の場合、このディレクトリはC:\Program Files\Symantec\DataLossPrevention\EnforceServer\16.0.00000\protect\binです。Linux の場合、このディレクトリは/opt/Symantec/DataLossPrevention/EnforceServer/16.0.00000/protect/binです。
- 各検出サーバーの専用の証明書ファイルを作成する場合は、作成するエイリアスの名前をリストするテキストファイルを最初に作成します。エイリアスは各行に 1 つずつ配置します。次に例を示します。net_monitor01 protect01 endpoint01 smtp_prevent01 web_prevent01-genkey引数は、「enforce」エイリアスと「monitor」エイリアスの証明書を自動的に作成します。これらのエイリアスはカスタムエイリアスファイルに追加しないでください。
- -genkey引数と、省略可能な-dir引数 (出力ディレクトリを指定する場合) を指定して sslkeytool ユーティリティを実行します。カスタムエイリアスファイルを作成した場合は、次の例のように、省略可能な-alias引数も指定します。
- Windows:sslkeytool -genkey -alias=.\aliases.txt -dir=.\generated_keys
- Linux:sslkeytool -genkey -alias=./aliases.txt -dir=./generated_keys
これは、指定されたディレクトリに新しい証明書 (キーストアファイル) を生成します。次の 2 つのファイルは-genkey引数で自動的に生成されます。- enforce.timestamp.sslKeyStore
- monitor.timestamp.sslKeyStore
sslkeytoolは、エイリアスファイルで定義済みであるすべてのエイリアスの個々のファイルも生成します。次に例を示します。- net_monitor01.timestamp.sslKeyStore
- protect01.timestamp.sslKeyStore
- endpoint01.timestamp.sslKeyStore
- smtp_prevent01.timestamp.sslKeyStore
- web_prevent01.timestamp.sslKeyStore
- 名前がenforceで始まる証明書ファイルを、お使いのプラットフォームに応じて Enforce サーバーの以下のディレクトリにコピーします。
- Windows:c:\ProgramData\Symantec\DataLossPrevention\EnforceServer\16.0.00000\keystore
- Linux:/var/Symantec/DataLossPrevention/EnforceServer/16.0.00000/keystore
- すべての検出サーバーで同じ証明書ファイルを使う場合は、名前がmonitorで始まる証明書ファイルをシステム内の各検出サーバーのキーストアディレクトリにコピーします。お使いのプラットフォームに応じてディレクトリにファイルをコピーします。
- Windows:c:\ProgramData\Symantec\DataLossPrevention\DetectionServer\16.0.00000\protect\keystore
- Linux:/var/Symantec/DataLossPrevention/DetectionServer/16.0.00000/keystore
システム内の各検出サーバーの一意の証明書ファイルを生成した場合は、該当する証明書ファイルを各検出サーバーコンピュータのkeystoreディレクトリにコピーします。 - 生成されたキーへの無断アクセスを防ぐために、証明書ファイルの追加コピーは削除するか保護します。
- Enforce サーバーのSymantecDLPDetectionServerControllerServiceサービスと、検出サーバーのSymantecDLPDetectionServerServiceサービスを再起動します。
Symantec Data Loss Prevention
サーバーをインストールすると、インストールプログラムは keystore
ディレクトリにデフォルトのキーストアファイルを作成します。生成された証明書ファイルをこのディレクトリにコピーすると、生成されたファイルによってデフォルトの証明書が上書きされます。後で keystore
ディレクトリから証明書ファイルが削除された場合、Symantec Data Loss Prevention
では、アプリケーションに埋め込まれたデフォルトのキーストアファイルが再び使われるようになります。この動作によって、データトラフィックは常に保護されます。しかし、あるサーバーで組み込みの証明書を使い、生成された証明書をその他のサーバーで使うことができないことに注意してください。Symantec Data Loss Prevention
システムのすべてのサーバーは組み込みの証明書かカスタム証明書を使う必要があります。keystore
ディレクトリに複数のキーストアファイルがある場合は、サーバーが起動しません。