Sie können das Tool "wsadmin" verwenden, um das Sicherheitsprüfsystem für die Verschlüsselung von Sicherheitsprüfdatensätzen zu konfigurieren.
Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.
Vorbereitende Schritte
Bevor Sie die Verschlüsselung konfigurieren, müssen Sie Ihr Subsystem für die Sicherheitsprüfung konfigurieren.
Sie können die Sicherheitsprüfung aktivieren, bevor oder nachdem Sie die Schritte in diesem Artikel ausgeführt haben.
Vergewissern Sie sich, dass Sie die erforderliche Verwaltungsrolle haben. Zum Ausführen der in diesem Artikel beschriebenen Schritte müssen Sie die
Verwaltungsrolle "Auditor" (Prüfung) haben.
Wenn Sie ein Zertifikat aus einem Schlüsselspeicher importieren, der in der Datei "security.xml" enthalten ist, müssen Sie die Verwaltungsrollen
"Auditor" (Prüfung) und "Administrator" (Verwaltung) haben.
Informationen zu diesem Vorgang
Wenn Sie die Verschlüsselung konfigurieren, können Sie in der Rolle "Auditor" eine der folgenden Optionen auswählen:
- Automatische Generierung eines Zertifikats durch den Anwendungsserver zulassen oder ein vorhandenes
selbst signiertes Zertifikat verwenden, das vom Auditor generiert wurde.
- Vorhandenen Keystore für die Speicherung dieses Zertifikats verwenden oder einen neuen Keystore erstellen, in dem das Zertifikat gespeichert wird.
Fehler vermeiden: Um sicherzustellen, dass eine Trennung zwischen den Berechtigungen der Rolle
"Administrator" und denen der Rolle "Auditor" erfolgt, kann der Auditor ein selbst signiertes Zertifikat
außerhalb des Anwendungsserverprozesses erstellen und den privaten Schlüssel dieses Zertifikats verwalten.
gotcha
Verwenden Sie die folgenden Taskschritte, um Sicherheitsprüfdaten zu verschlüsseln:
Vorgehensweise
- Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython.
Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
- Konfigurieren Sie Verschlüsselungseinstellungen für die Sicherheitsprüfdaten.
Verwenden Sie den
Befehl "createAuditEncryptionConfig" und die folgenden Parameter, um das Prüfverschlüsselungsmodell
für die Verschlüsselung Ihrer Prüfdatensätze zu erstellen. Sie müssen die Parameter
"-enableAuditEncryption", "-certAlias" und "-encryptionKeyStoreRef" und den Parameter
"-autogenCert" oder den Parameter "-importCert" angeben.
Tabelle 1. Befehlsparameter. In dieser Tabelle sind der Befehl "createAuditEncryptionConfig" und seine Parameter beschrieben:Parameter |
Beschreibung |
Datentyp |
Erforderlich |
-enableAuditEncryption |
Gibt an, ob Prüfdatensätze verschlüsselt werden sollen. Dieser Parameter
ändert Ihre Prüfrichtlinienkonfiguration. |
Boolean |
Ja |
-certAlias |
Gibt den Aliasnamen an, der das generierte bzw. importierte
Zertifikat identifiziert. |
String |
Ja |
-encryptionKeyStoreRef |
Gibt die Referenz-ID des Keystores an, in den das Zertifikat importiert werden soll. |
String |
Ja |
-autogenCert |
Gibt an, ob das für die Verschlüsselung der Prüfdatensätze verwendete Zertifikat automatisch generiert werden soll.
Sie müssen entweder diesen Parameter oder den Parameter "-importCert" angeben. Beide Parameter zusammen können nicht angegeben werden. |
Boolean |
Nein |
-importCert |
Gibt an, ob ein vorhandenes Zertifikat für die Verschlüsselung der Prüfdatensätze importiert werden soll.
Sie müssen entweder diesen Parameter oder den Parameter "-autogenCert" angeben. Beide Parameter zusammen können nicht angegeben werden. |
Boolean |
Nein |
-certKeyFileName |
Gibt den eindeutigen Namen der Schlüsseldatei an, aus der das Zertifikat importiert wird. |
String |
Nein |
-certKeyFilePath |
Gibt die Position der Schlüsseldatei an, aus der das Zertifikat importiert wird. |
String |
Nein |
-certKeyFileType |
Gibt den Typ der Schlüsseldatei an, aus der das Zertifikat importiert wird. |
String |
Nein |
-certKeyFilePassword |
Gibt das Kennwort für die Schlüsseldatei an, aus der das Zertifikat importiert wird. |
String |
Nein |
-certAliasToImport |
Gibt den Alias an, über den das Zertifikat importiert wird. |
String |
Nein |
Der folgende Beispielbefehl konfiguriert die Verschlüsselung und unterstützt die automatische Generierung des Zertifikats durch das System:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-autogenCert true -encryptionKeyStoreRef auditKeyStore')
Der folgende Beispielbefehl konfiguriert die Verschlüsselung und importiert ein Zertifikat:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath
install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key
-certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore')
- Sie müssen den Server erneut starten, damit die Konfigurationsänderungen angewendet werden.
Ergebnisse
Die Verschlüsselung für die Sicherheitsprüfdaten ist konfiguriert. Wenn Sie den Parameter
"-enableAuditEncryption" auf true setzen, verschlüsselt Ihr Sicherheitsprüfsystem
die Sicherheitsprüfdaten, falls die Sicherheitsprüfung aktiviert ist.
Nächste Schritte
Nach der Erstkonfiguration des Verschlüsselungsmodells können Sie die Befehle
"enableAuditEncryption" und "disableAuditEncryption" verwenden, um die Verschlüsselung zu aktivieren und zu inaktivieren.
Im folgenden Beispiel wird der Befehl "enableAuditEncryption" verwendet, um die Verschlüsselung zu aktivieren:
AdminTask.enableAuditEncryption()
Im folgenden Beispiel
wird der Befehl "disableAuditEncryption" verwendet, um die Verschlüsselung zu inaktivieren:
AdminTask.disableAuditEncryption()