Puede utilizar la herramienta wsadmin para configurar el sistema de auditoría
de seguridad para cifrar los registros de auditoría de seguridad. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos
que se pueden auditar.
Antes de empezar
Antes de configurar el cifrado, configure el subsistema de auditoría de seguridad. Puede habilitar la auditoría de seguridad antes o después de completar los pasos de este
tema.
Verifique que tiene el rol administrativo adecuado. Para completar este
tema, debe tener el rol administrativo de auditor. Si está importando un certificado
desde un almacén de claves que existe en el archivo security.xml, debe tener los roles
administrativos de auditor y administrador.
Acerca de esta tarea
Al configurar el cifrado, el auditor puede seleccionar una de las opciones
siguientes:
- Permitir que el servidor de aplicaciones genere automáticamente un certificado o
utilizar un certificado autofirmado existente generado por el auditor.
- Utilizar un almacén de claves existente para almacenar este certificado o crear un
nuevo almacén de claves para almacenar este certificado.
Avoid trouble: Para garantizar que hay una separación de privilegios entre
el rol de administrador y el rol de auditor, el auditor puede crear un certificado
autofirmado fuera del proceso servidor de aplicaciones y mantener la clave privada de ese
certificado.
gotcha
Utilice los pasos de tarea siguientes para cifrar los datos
de auditoría de seguridad:
Procedimiento
- Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
- Configure los valores de cifrado para los datos de auditoría de seguridad.
Utilice el mandato createAuditEncryptionConfig y los parámetros siguientes para crear
el modelo de cifrado de auditoría para cifrar los registros de auditoría. Debe
especificar los parámetros -enableAuditEncryption, -certAlias y -encryptionKeyStoreRef, y
los parámetros -autogenCert o -importCert.
Tabla 1. Parámetros del mandato. En esta tabla se describe el mandato createAuditEncryptionConfig y sus parámetros:Parámetro |
Descripción |
Tipo de datos |
Required |
-enableAuditEncryption |
Especifica si se van a cifrar los registros de auditoría.
Este parámetro
modifica la configuración de política de auditoría. |
Booleano |
Sí |
-certAlias |
Especifica el nombre de alias que identifica el certificado generado
o importado. |
Serie |
Sí |
-encryptionKeyStoreRef |
Especifica el ID de referencia del almacén de claves al que se va a
importar el certificado. |
Serie |
Sí |
-autogenCert |
Especifica si se va a generar automáticamente el certificado utilizado para cifrar los registros de auditoría. Debe especificar este parámetro o bien
el parámetro -importCert, pero no puede especificar ambos. |
Booleano |
No |
-importCert |
Especifica si se va a importar un certificado existente
para cifrar los registros de auditoría. Debe especificar este parámetro o bien el
parámetro -autogenCert, pero no puede especificar ambos. |
Booleano |
No |
-certKeyFileName |
Especifica el nombre exclusivo del archivo de claves desde donde se
importa el certificado. |
Serie |
No |
-certKeyFilePath |
Especifica la ubicación del archivo de claves desde donde se
importa el certificado. |
Serie |
No |
-certKeyFileType |
Especifica el tipo de archivo de claves desde donde se importa el
certificado. |
Serie |
No |
-certKeyFilePassword |
Especifica la contraseña del archivo de claves desde donde se
importa el certificado. |
Serie |
No |
-certAliasToImport |
Especifica el alias desde donde se importa el certificado. |
Serie |
No |
En el ejemplo de mandato siguiente se configura el cifrado y se permite
que el sistema genere automáticamente el certificado:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-autogenCert true -encryptionKeyStoreRef auditKeyStore')
En el mandato de ejemplo siguiente se configura el cifrado y se importa un certificado:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath
install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key
-certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore')
- Debe reiniciar el servidor para que se apliquen los cambios de configuración.
Resultados
Se habrá configurado el cifrado para los datos de auditoría de seguridad. Si
establece el parámetro -enableAuditEncryption en true, el sistema de auditoría
de seguridad cifra los datos de auditoría de seguridad cuando se habilita la auditoría de
seguridad.
Qué hacer a continuación
Una vez configurado el modelo de cifrado por primera vez, puede utilizar los
mandatos enableAuditEncryption y disableAuditEncryption para activar o desactivar el
cifrado.
El siguiente ejemplo utiliza el mandato enableAuditEncryption para
activar el cifrado:
AdminTask.enableAuditEncryption()
El siguiente ejemplo utiliza el mandato disableAuditEncryption para desactivar el cifrado:
AdminTask.disableAuditEncryption()