Chiffrement des données d'audit de sécurité à l'aide de scripts

L'outil wsadmin permet de configurer le système d'audit de sécurité pour chiffrer les enregistrements d'audit de sécurité. Cette fonction propose de suivre et d'archiver des événements auditables.

Avant de commencer

Avant de configurer le chiffrement, définissez le sous-système d'audit de sécurité. Vous pouvez activer l'audit de sécurité avant ou après la réalisation des opérations présentées dans cette rubrique.

Vérifiez que vous disposez du rôle administratif approprié. Pour réaliser les tâches expliquées dans cette rubrique, vous devez avoir un rôle administratif d'auditeur. Si vous importez un certificat d'un fichier de clés existant dans le fichier security.xml, vous devez posséder les rôles administratifs d'auditeur et d'administrateur.

Pourquoi et quand exécuter cette tâche

Lors de la configuration du chiffrement, l'auditeur peut sélectionner l'une des options suivantes :
  • autoriser le serveur d'applications à générer automatiquement un certificat ou utiliser un certificat auto-signé existant généré par l'auditeur ;
  • utiliser un fichier de clés existant pour stocker ce certificat ou créer un nouveau fichier de clés pour le stocker.
Eviter les incidents Eviter les incidents: Pour garantir la séparation des privilèges entre le rôle de l'administrateur et le rôle de l'auditeur, l'auditeur peut créer un certificat auto-signé hors du processus de serveur d'applications et gérer la clé privée de ce certificat.gotcha

Effectuez les opérations ci-après pour chiffrer les données d'audit de sécurité.

Procédure

  1. Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
  2. Configurez les paramètres de chiffrement des données d'audit de sécurité.
    Utilisez la commande createAuditEncryptionConfig et les paramètres ci-après pour créer le modèle de chiffrement des enregistrements d'audit. Vous devez indiquer les paramètres -enableAuditEncryption, -certAlias et -encryptionKeyStoreRef, et l'un des paramètres -autogenCert ou -importCert.
    Tableau 1. Paramètres de commande. Ce tableau décrit la commande createAuditEncryptionConfig et ses paramètres :
    Paramètre Description Type de données Obligatoire
    -enableAuditEncryption Indique si les enregistrements d'audit doivent être chiffrés. Ce paramètre modifie la configuration de la règle d'audit. Booléenne Yes
    -certAlias Indique le nom d'alias qui identifie le certificat généré ou importé. String (chaîne) Yes
    -encryptionKeyStoreRef Indique l'ID de référence du fichier de clés vers lequel le certificat doit être importé. String (chaîne) Yes
    -autogenCert Indique si le certificat utilisé pour chiffrer les enregistrements d'audit doit être automatiquement généré. Vous devez indiquer soit ce paramètre, soit le paramètre -importCert, mais pas les deux. Booléenne Non
    -importCert Indique si le certificat utilisé pour chiffrer les enregistrements d'audit doit être importé. Vous devez indiquer soit ce paramètre, soit le paramètre -autogenCert, mais pas les deux. Booléenne Non
    -certKeyFileName Indique le nom unique du fichier de clés pour le certificat à importer. String (chaîne) Non
    -certKeyFilePath Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. String (chaîne) Non
    -certKeyFileType Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. String (chaîne) Non
    -certKeyFilePassword Indique l'emplacement du fichier de clés à partir duquel le certificat est importé. String (chaîne) Non
    -certAliasToImport Indique l'alias à partir duquel le certificat est importé. String (chaîne) Non
    L'exemple de commande suivant configure le chiffrement et autorise le système à générer automatiquement le certificat :
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -autogenCert true -encryptionKeyStoreRef auditKeyStore') 
    L'exemple de commande suivant configure le chiffrement et importe un certificat :
    AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath 
    install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key 
    -certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore') 
  3. Vous devez redémarrer le serveur pour appliquer les modifications de configuration.

Résultats

Le chiffrement est désormais configuré pour les données d'audit de sécurité. Si vous affectez au paramètre -enableAuditEncryption la valeur true, le système d'audit de sécurité chiffre les données d'audit de sécurité lorsque la fonction d'audit de sécurité est activée.

Que faire ensuite

Lorsque vous avez configuré le modèle de chiffrement pour la première fois, vous pouvez activer ou désactiver le chiffrement à l'aide des commandes enableAuditEncryption et disableAuditEncryption.

L'exemple suivant utilise la commande enableAuditEncryption pour activer le chiffrement :
AdminTask.enableAuditEncryption()
L'exemple suivant utilise la commande disableAuditEncryption pour désactiver le chiffrement :
AdminTask.disableAuditEncryption()

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7encryptaudit
Nom du fichier : txml_7encryptaudit.html