Sicherheitsprüfdaten mit Scripting verschlüsseln

Sie können das Tool "wsadmin" verwenden, um das Sicherheitsprüfsystem für die Verschlüsselung von Sicherheitsprüfdatensätzen zu konfigurieren. Die Sicherheitsprüfung unterstützt die Verfolgung und Archivierung prüfbarer Ereignisse.

Vorbereitende Schritte

Bevor Sie die Verschlüsselung konfigurieren, müssen Sie Ihr Subsystem für die Sicherheitsprüfung konfigurieren. Sie können die Sicherheitsprüfung aktivieren, bevor oder nachdem Sie die Schritte in diesem Artikel ausgeführt haben.

Vergewissern Sie sich, dass Sie die erforderliche Verwaltungsrolle haben. Zum Ausführen der in diesem Artikel beschriebenen Schritte müssen Sie die Verwaltungsrolle "Auditor" (Prüfung) haben. Wenn Sie ein Zertifikat aus einem Schlüsselspeicher importieren, der in der Datei "security.xml" enthalten ist, müssen Sie die Verwaltungsrollen "Auditor" (Prüfung) und "Administrator" (Verwaltung) haben.

Informationen zu diesem Vorgang

Wenn Sie die Verschlüsselung konfigurieren, können Sie in der Rolle "Auditor" eine der folgenden Optionen auswählen:
  • Automatische Generierung eines Zertifikats durch den Anwendungsserver zulassen oder ein vorhandenes selbst signiertes Zertifikat verwenden, das vom Auditor generiert wurde.
  • Vorhandenen Keystore für die Speicherung dieses Zertifikats verwenden oder einen neuen Keystore erstellen, in dem das Zertifikat gespeichert wird.
Fehler vermeiden Fehler vermeiden: Um sicherzustellen, dass eine Trennung zwischen den Berechtigungen der Rolle "Administrator" und denen der Rolle "Auditor" erfolgt, kann der Auditor ein selbst signiertes Zertifikat außerhalb des Anwendungsserverprozesses erstellen und den privaten Schlüssel dieses Zertifikats verwalten.gotcha

Verwenden Sie die folgenden Taskschritte, um Sicherheitsprüfdaten zu verschlüsseln:

Vorgehensweise

  1. Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
  2. Konfigurieren Sie Verschlüsselungseinstellungen für die Sicherheitsprüfdaten.
    Verwenden Sie den Befehl "createAuditEncryptionConfig" und die folgenden Parameter, um das Prüfverschlüsselungsmodell für die Verschlüsselung Ihrer Prüfdatensätze zu erstellen. Sie müssen die Parameter "-enableAuditEncryption", "-certAlias" und "-encryptionKeyStoreRef" und den Parameter "-autogenCert" oder den Parameter "-importCert" angeben.
    Tabelle 1. Befehlsparameter. In dieser Tabelle sind der Befehl "createAuditEncryptionConfig" und seine Parameter beschrieben:
    Parameter Beschreibung Datentyp Erforderlich
    -enableAuditEncryption Gibt an, ob Prüfdatensätze verschlüsselt werden sollen. Dieser Parameter ändert Ihre Prüfrichtlinienkonfiguration. Boolean Ja
    -certAlias Gibt den Aliasnamen an, der das generierte bzw. importierte Zertifikat identifiziert. String Ja
    -encryptionKeyStoreRef Gibt die Referenz-ID des Keystores an, in den das Zertifikat importiert werden soll. String Ja
    -autogenCert Gibt an, ob das für die Verschlüsselung der Prüfdatensätze verwendete Zertifikat automatisch generiert werden soll. Sie müssen entweder diesen Parameter oder den Parameter "-importCert" angeben. Beide Parameter zusammen können nicht angegeben werden. Boolean Nein
    -importCert Gibt an, ob ein vorhandenes Zertifikat für die Verschlüsselung der Prüfdatensätze importiert werden soll. Sie müssen entweder diesen Parameter oder den Parameter "-autogenCert" angeben. Beide Parameter zusammen können nicht angegeben werden. Boolean Nein
    -certKeyFileName Gibt den eindeutigen Namen der Schlüsseldatei an, aus der das Zertifikat importiert wird. String Nein
    -certKeyFilePath Gibt die Position der Schlüsseldatei an, aus der das Zertifikat importiert wird. String Nein
    -certKeyFileType Gibt den Typ der Schlüsseldatei an, aus der das Zertifikat importiert wird. String Nein
    -certKeyFilePassword Gibt das Kennwort für die Schlüsseldatei an, aus der das Zertifikat importiert wird. String Nein
    -certAliasToImport Gibt den Alias an, über den das Zertifikat importiert wird. String Nein
    Der folgende Beispielbefehl konfiguriert die Verschlüsselung und unterstützt die automatische Generierung des Zertifikats durch das System:
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -autogenCert true -encryptionKeyStoreRef auditKeyStore') 
    Der folgende Beispielbefehl konfiguriert die Verschlüsselung und importiert ein Zertifikat:
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath 
    install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key 
    -certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore') 
  3. Sie müssen den Server erneut starten, damit die Konfigurationsänderungen angewendet werden.

Ergebnisse

Die Verschlüsselung für die Sicherheitsprüfdaten ist konfiguriert. Wenn Sie den Parameter "-enableAuditEncryption" auf true setzen, verschlüsselt Ihr Sicherheitsprüfsystem die Sicherheitsprüfdaten, falls die Sicherheitsprüfung aktiviert ist.

Nächste Schritte

Nach der Erstkonfiguration des Verschlüsselungsmodells können Sie die Befehle "enableAuditEncryption" und "disableAuditEncryption" verwenden, um die Verschlüsselung zu aktivieren und zu inaktivieren.

Im folgenden Beispiel wird der Befehl "enableAuditEncryption" verwendet, um die Verschlüsselung zu aktivieren:
AdminTask.enableAuditEncryption()
Im folgenden Beispiel wird der Befehl "disableAuditEncryption" verwendet, um die Verschlüsselung zu inaktivieren:
AdminTask.disableAuditEncryption()

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7encryptaudit
Dateiname:txml_7encryptaudit.html