Firmado de datos de auditoría de seguridad con scripts

Puede utilizar la herramienta wsadmin a fin de configurar el sistema de auditoría de seguridad para firmar los registros de auditoría de seguridad. La auditoría de seguridad proporciona el seguimiento y archivado de sucesos que se pueden auditar.

Antes de empezar

Verifique que tiene el rol administrativo adecuado. Para completar este tema, debe tener los roles administrativos de auditor y administrador.

Acerca de esta tarea

Al configurar el firmado de los datos de auditoría, el auditor puede elegir entre las opciones siguientes:
  • Permitir que el servidor de aplicaciones genere automáticamente los certificados.
  • Utilizar un certificado autofirmado existente que el auditor ha generado anteriormente.
  • Utilizar el mismo certificado autofirmado que el sistema utiliza para cifrar los registros de auditoría.
  • Utilizar un almacén de claves existente para almacenar este certificado.
  • Crear un nuevo almacén de claves para almacenar este certificado.
  • Utilizar un certificado autofirmado existente de un almacén de claves existente.

Utilice los pasos de tarea siguientes para configurar el firmado de los datos de auditoría de seguridad:

Procedimiento

  1. Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
  2. Configure los valores de firmado de los datos de auditoría de seguridad.

    Utilice el mandato createAuditSigningConfig a fin de crear el modelo de firmado para firmar los registros de auditoría.

    Puede importar el certificado de un nombre de archivo de claves existente que contiene ese certificado, generar automáticamente el certificado o utilizar el mismo certificado que se ha utilizado para cifrar los registros de auditoría. El almacén de claves de firmado debe existir en el archivo security.xml. El sistema actualiza este almacén de claves con el certificado que se va a utilizar para firmar los registros de auditoría.
    Tabla 1. Parámetros de mandato. Utilice los parámetros de la tabla siguiente con el mandato createAuditSigningConfig. Debe especificar los parámetros -enableAuditSigning, -certAlias y -signingKeyStoreRef.
    Parámetro Descripción Tipo de datos Required
    -enableAuditSigning Especifica si se van a firmar los registros de auditoría. Este parámetro modifica la configuración de política de auditoría. Booleano
    -certAlias Especifica el nombre de alias que identifica el certificado generado o importado. Serie
    -signingKeyStoreRef Especifica el ID de referencia del almacén de claves al que se va a importar el certificado. Serie
    -useEncryptionCert Especifica si se va a utilizar el mismo certificado para el cifrado y la firma. Debe especificar el parámetro -useEncryptionCert, -autogenCert o -importCert. Booleano No
    -autogenCert Especifica si se va a generar automáticamente el certificado utilizado para firmar los registros de auditoría. Debe especificar el parámetro -useEncryptionCert, -autogenCert o -importCert. Booleano No
    -importCert Especifica si se va a importar un certificado existente para firmar los registros de auditoría. Debe especificar el parámetro -useEncryptionCert, -autogenCert o -importCert. Booleano No
    -certKeyFileName Especifica el nombre exclusivo del archivo de claves del certificado que se va a importar. Serie No
    -certKeyFilePath Especifica la ubicación del archivo de claves del certificado que se va a importar. Serie No
    -certKeyFileType Especifica el tipo de archivo de claves del certificado que se va a importar. Serie No
    -certKeyFilePassword Especifica la contraseña del archivo de claves del certificado que se va a importar. Serie No
    -certAliasToImport Especifica el alias del certificado que se va a importar. Serie No
    En el ejemplo de mandato siguiente se configura el firmado y se permite que el sistema genere automáticamente el certificado:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    En el mandato de ejemplo siguiente se configura el firmado y se importa un certificado:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12 
    -certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate 
    -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    En el ejemplo de mandato siguiente se utiliza el mismo certificado para el firmado y cifrado:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
  3. Guarde los cambios de configuración.
    Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
    AdminConfig.save()
  4. Reinicie el servidor para implementar los cambios de configuración.

Resultados

Se habrá configurado el firmado de los datos de auditoría de seguridad. Si establece el parámetro -enableAuditSigning en true, el sistema de auditoría de seguridad firma los datos de auditoría de seguridad cuando se habilita la auditoría de seguridad.

Qué hacer a continuación

Una vez configurado el modelo de firmado por primera vez, utilice los mandatos enableAuditSigning y disableAuditSigning para activar o desactivar rápidamente el cifrado. El siguiente ejemplo utiliza el mandato enableAuditSigning para activar la firma:
AdminTask.enableAuditSigning()
El siguiente ejemplo utiliza el mandato disableAuditSigning para desactivar el firmado:
AdminTask.disableAuditSigning()

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7signaudit
File name: txml_7signaudit.html