L'outil wsadmin permet de configurer le système d'audit de
sécurité pour chiffrer les enregistrements d'audit de sécurité. Cette
fonction propose de suivre et d'archiver des événements auditables.
Avant de commencer
Avant de configurer le chiffrement, définissez le sous-système d'audit de sécurité. Vous pouvez activer l'audit de sécurité avant ou après la réalisation des
opérations présentées dans cette rubrique.
Vérifiez que vous disposez du rôle administratif approprié. Pour réaliser les tâches expliquées dans cette rubrique, vous devez avoir un rôle administratif d'auditeur. Si vous importez un certificat d'un fichier de clés existant dans le fichier security.xml, vous devez posséder les rôles administratifs d'auditeur et d'administrateur.
Pourquoi et quand exécuter cette tâche
Lors de la configuration du chiffrement, l'auditeur peut sélectionner l'une des options suivantes :
- autoriser le serveur d'applications à générer automatiquement un
certificat ou utiliser un certificat auto-signé existant généré par
l'auditeur ;
- utiliser un fichier de clés existant pour stocker ce certificat ou créer un nouveau fichier de clés pour le stocker.
Eviter les incidents: Pour garantir la séparation des privilèges entre le rôle de
l'administrateur et le rôle de l'auditeur, l'auditeur peut créer un
certificat auto-signé hors du processus de serveur d'applications et gérer
la clé privée de ce certificat.
gotcha
Effectuez les opérations
ci-après pour chiffrer les données d'audit de sécurité.
Procédure
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Configurez les paramètres de chiffrement des données d'audit de sécurité.
Utilisez la commande createAuditEncryptionConfig et les paramètres ci-après pour créer le modèle de chiffrement des enregistrements d'audit. Vous devez indiquer les paramètres
-enableAuditEncryption, -certAlias et -encryptionKeyStoreRef, et l'un des paramètres -autogenCert ou -importCert.
Tableau 1. Paramètres de commande. Ce tableau décrit la commande createAuditEncryptionConfig
et ses paramètres :Paramètre |
Description |
Type de données |
Obligatoire |
-enableAuditEncryption |
Indique si les enregistrements d'audit doivent être
chiffrés.
Ce paramètre modifie la configuration de la règle d'audit. |
Booléenne |
Yes |
-certAlias |
Indique le nom d'alias qui identifie le certificat
généré ou importé. |
String (chaîne) |
Yes |
-encryptionKeyStoreRef |
Indique l'ID de référence du fichier de clés vers lequel le certificat doit être importé. |
String (chaîne) |
Yes |
-autogenCert |
Indique si le certificat utilisé pour chiffrer les
enregistrements d'audit doit être automatiquement généré. Vous devez indiquer soit ce paramètre, soit le
paramètre -importCert, mais pas les deux. |
Booléenne |
Non |
-importCert |
Indique si le certificat utilisé pour chiffrer les
enregistrements d'audit doit être importé. Vous devez indiquer soit ce paramètre, soit le
paramètre -autogenCert, mais pas les deux. |
Booléenne |
Non |
-certKeyFileName |
Indique le nom unique du fichier de clés pour le certificat à
importer. |
String (chaîne) |
Non |
-certKeyFilePath |
Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. |
String (chaîne) |
Non |
-certKeyFileType |
Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. |
String (chaîne) |
Non |
-certKeyFilePassword |
Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. |
String (chaîne) |
Non |
-certAliasToImport |
Indique l'alias à partir duquel le certificat est importé. |
String (chaîne) |
Non |
L'exemple de commande suivant configure le chiffrement et autorise le
système à générer automatiquement le certificat :
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-autogenCert true -encryptionKeyStoreRef auditKeyStore')
L'exemple de commande suivant configure le chiffrement et importe un certificat :
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath
install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key
-certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore')
- Vous
devez redémarrer le serveur pour appliquer les modifications de
configuration.
Résultats
Le chiffrement est désormais configuré pour les données d'audit de sécurité. Si vous affectez au paramètre -enableAuditEncryption la valeur
true, le système d'audit de sécurité chiffre les données d'audit
de sécurité lorsque la fonction d'audit de sécurité est activée.
Que faire ensuite
Lorsque vous avez configuré le modèle de chiffrement pour la
première fois, vous pouvez activer ou désactiver le chiffrement à l'aide
des commandes enableAuditEncryption et disableAuditEncryption.
L'exemple suivant utilise la commande enableAuditEncryption pour activer le chiffrement :
AdminTask.enableAuditEncryption()
L'exemple suivant utilise la commande disableAuditEncryption pour désactiver le chiffrement :
AdminTask.disableAuditEncryption()