Cifrado de datos de auditoría de seguridad con scripts

Puede utilizar la herramienta wsadmin para configurar el sistema de auditoría de seguridad para cifrar los registros de auditoría de seguridad. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos que se pueden auditar.

Antes de empezar

Antes de configurar el cifrado, configure el subsistema de auditoría de seguridad. Puede habilitar la auditoría de seguridad antes o después de completar los pasos de este tema.

Verifique que tiene el rol administrativo adecuado. Para completar este tema, debe tener el rol administrativo de auditor. Si está importando un certificado desde un almacén de claves que existe en el archivo security.xml, debe tener los roles administrativos de auditor y administrador.

Acerca de esta tarea

Al configurar el cifrado, el auditor puede seleccionar una de las opciones siguientes:
  • Permitir que el servidor de aplicaciones genere automáticamente un certificado o utilizar un certificado autofirmado existente generado por el auditor.
  • Utilizar un almacén de claves existente para almacenar este certificado o crear un nuevo almacén de claves para almacenar este certificado.
Avoid trouble Avoid trouble: Para garantizar que hay una separación de privilegios entre el rol de administrador y el rol de auditor, el auditor puede crear un certificado autofirmado fuera del proceso servidor de aplicaciones y mantener la clave privada de ese certificado.gotcha

Utilice los pasos de tarea siguientes para cifrar los datos de auditoría de seguridad:

Procedimiento

  1. Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
  2. Configure los valores de cifrado para los datos de auditoría de seguridad.
    Utilice el mandato createAuditEncryptionConfig y los parámetros siguientes para crear el modelo de cifrado de auditoría para cifrar los registros de auditoría. Debe especificar los parámetros -enableAuditEncryption, -certAlias y -encryptionKeyStoreRef, y los parámetros -autogenCert o -importCert.
    Tabla 1. Parámetros del mandato. En esta tabla se describe el mandato createAuditEncryptionConfig y sus parámetros:
    Parámetro Descripción Tipo de datos Required
    -enableAuditEncryption Especifica si se van a cifrar los registros de auditoría. Este parámetro modifica la configuración de política de auditoría. Booleano
    -certAlias Especifica el nombre de alias que identifica el certificado generado o importado. Serie
    -encryptionKeyStoreRef Especifica el ID de referencia del almacén de claves al que se va a importar el certificado. Serie
    -autogenCert Especifica si se va a generar automáticamente el certificado utilizado para cifrar los registros de auditoría. Debe especificar este parámetro o bien el parámetro -importCert, pero no puede especificar ambos. Booleano No
    -importCert Especifica si se va a importar un certificado existente para cifrar los registros de auditoría. Debe especificar este parámetro o bien el parámetro -autogenCert, pero no puede especificar ambos. Booleano No
    -certKeyFileName Especifica el nombre exclusivo del archivo de claves desde donde se importa el certificado. Serie No
    -certKeyFilePath Especifica la ubicación del archivo de claves desde donde se importa el certificado. Serie No
    -certKeyFileType Especifica el tipo de archivo de claves desde donde se importa el certificado. Serie No
    -certKeyFilePassword Especifica la contraseña del archivo de claves desde donde se importa el certificado. Serie No
    -certAliasToImport Especifica el alias desde donde se importa el certificado. Serie No
    En el ejemplo de mandato siguiente se configura el cifrado y se permite que el sistema genere automáticamente el certificado:
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -autogenCert true -encryptionKeyStoreRef auditKeyStore') 
    En el mandato de ejemplo siguiente se configura el cifrado y se importa un certificado:
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath 
    install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key 
    -certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore') 
  3. Debe reiniciar el servidor para que se apliquen los cambios de configuración.

Resultados

Se habrá configurado el cifrado para los datos de auditoría de seguridad. Si establece el parámetro -enableAuditEncryption en true, el sistema de auditoría de seguridad cifra los datos de auditoría de seguridad cuando se habilita la auditoría de seguridad.

Qué hacer a continuación

Una vez configurado el modelo de cifrado por primera vez, puede utilizar los mandatos enableAuditEncryption y disableAuditEncryption para activar o desactivar el cifrado.

El siguiente ejemplo utiliza el mandato enableAuditEncryption para activar el cifrado:
AdminTask.enableAuditEncryption()
El siguiente ejemplo utiliza el mandato disableAuditEncryption para desactivar el cifrado:
AdminTask.disableAuditEncryption()

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7encryptaudit
File name: txml_7encryptaudit.html