Sicherheitsprüfdaten mit Scripting signieren

Sie können das Tool "wsadmin" verwenden, um das Sicherheitsprüfsystem für die Signatur von Sicherheitsprüfdatensätzen zu konfigurieren. Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.

Vorbereitende Schritte

Vergewissern Sie sich, dass Sie die erforderliche Verwaltungsrolle haben. Zum Ausführen der in diesem Artikel beschriebenen Schritte müssen Sie die Verwaltungsrollen "Auditor" (Prüfung) und "Administrator" (Verwaltung) haben.

Informationen zu diesem Vorgang

Wenn Sie die Signatur von Prüfdaten konfigurieren, kann Sie mit der Rolle "Auditor" zwischen den folgenden Optionen wählen:
  • Automatische Generierung eines Zertifikats durch den Anwendungsserver zulassen.
  • Ein vorhandenes selbst signiertes Zertifikat verwenden, das zuvor vom Auditor generiert wurde.
  • Dasselbe selbst signierte Zertifikat verwenden, das das System auch für die Verschlüsselung der Prüfdatensätze verwendet.
  • Vorhandenen Keystore für die Speicherung dieses Zertifikats verwenden.
  • Neuen Keystore für die Speicherung dieses Zertifikats erstellen.
  • Vorhandenes selbst signiertes Zertifikat in einem vorhandenen Keystore verwenden.

Verwenden Sie die folgenden Taskschritte, um Sicherheitsprüfdaten zu signieren:

Vorgehensweise

  1. Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
  2. Konfigurieren Sie Signatureinstellungen für die Sicherheitsprüfdaten.

    Verwenden Sie den Befehl "createAuditSigningConfig", um das Signaturmodell zum Signieren Ihrer Prüfdatensätze zu erstellen.

    Sie können das Zertifikat aus einer vorhandenen Schlüsseldatei importierten, die das Zertifikat enthält, das Zertifikat automatisch generieren lassen oder dasselbe Zertifikat verwenden, das auch für die Verschlüsselung der Prüfdatensätze verwendet wird. Der Keystore für die Signatur muss in der Datei security.xml vorhanden sein. Das System aktualisiert diesen Keystore mit dem Zertifikat, das für die Signatur der Prüfdatensätze verwendet werden soll.
    Tabelle 1. Befehlsparameter. Verwenden Sie die in der folgenden Tabelle aufgelisteten Parameter mit dem Befehl "createAuditSigningConfig". Die Parameter "-enableAuditSigning", "-certAlias" und "-signingKeyStoreRef" müssen angegeben werden.
    Parameter Beschreibung Datentyp Erforderlich
    -enableAuditSigning Gibt an, ob Prüfdatensätze signiert werden sollen. Dieser Parameter ändert Ihre Prüfrichtlinienkonfiguration. Boolean Ja
    -certAlias Gibt den Aliasnamen an, der das generierte bzw. importierte Zertifikat identifiziert. String Ja
    -signingKeyStoreRef Gibt die Referenz-ID des Keystores an, in den das Zertifikat importiert werden soll. String Ja
    -useEncryptionCert Gibt an, ob für Verschlüsselung und Signatur dasselbe Zertifikat verwendet werden soll. Sie müssen den Parameter "-useEncryptionCert", "-autogenCert" oder "-importCert" angeben. Boolean Nein
    -autogenCert Gibt an, ob das für die Signatur der Prüfdatensätze verwendete Zertifikat automatisch generiert werden soll. Sie müssen den Parameter "-useEncryptionCert", "-autogenCert" oder "-importCert" angeben. Boolean Nein
    -importCert Gibt an, ob ein vorhandenes Zertifikat für die Signatur der Prüfdatensätze importiert werden soll. Sie müssen den Parameter "-useEncryptionCert", "-autogenCert" oder "-importCert" angeben. Boolean Nein
    -certKeyFileName Gibt den eindeutigen Namen der Schlüsseldatei an, aus der das Zertifikat importiert werden soll. String Nein
    -certKeyFilePath Gibt die Position der Schlüsseldatei an, aus der das Zertifikat importiert werden soll. String Nein
    -certKeyFileType Gibt den Typ der Schlüsseldatei an, aus der das Zertifikat importiert werden soll. String Nein
    -certKeyFilePassword Gibt das Kennwort für die Schlüsseldatei an, aus der das Zertifikat importiert werden soll. String Nein
    -certAliasToImport Gibt den Alias des zu importierenden Zertifikats an. String Nein
    Der folgende Beispielbefehl konfiguriert die Signatur und lässt die automatische Generierung des Zertifikats durch das System zu:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    Der folgende Beispielbefehl konfiguriert die Signatur und importiert ein Zertifikat:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12 
    -certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate 
    -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    Der folgende Beispielbefehl verwendet für Signatur und Verschlüsselung dasselbe Zertifikat:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
  3. Sichern Sie die Konfigurationsänderungen.
    Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
    AdminConfig.save()
  4. Starten Sie den Server erneut, damit die Konfigurationsänderungen angewendet werden.

Ergebnisse

Sie haben die Signatur für Ihre Sicherheitsprüfdaten konfiguriert. Wenn Sie den Parameter "-enableAuditSigning" auf true setzen, signiert Ihr Sicherheitsprüfsystem die Sicherheitsprüfdaten, falls die Sicherheitsprüfung aktiviert ist.

Nächste Schritte

Nachdem der Erstkonfiguration des Signaturmodells verwenden Sie die Befehle "enableAuditSigning" und "disableAuditSigning", um die Signatur schnell zu aktivieren oder zu inaktivieren. Im folgenden Beispiel wird der Befehl "enableAuditSigning" verwendet, um die Signatur zu aktivieren:
AdminTask.enableAuditSigning()
Im folgenden Beispiel wird der Befehl "disableAuditSigning" verwendet, um die Signatur zu inaktivieren:
AdminTask.disableAuditSigning()

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7signaudit
Dateiname:txml_7signaudit.html