wsadmin ツールを使用してセキュリティー監査システムを構成し、セキュリティー監査レコードを暗号化できます。
セキュリティー監査は、監査可能イベントのトラッキングとアーカイブを提供します。
始める前に
暗号化を構成する前に、ご使用のセキュリティー監査サブシステムをセットアップします。
セキュリティー監査は、このトピックのステップを完了する前後に使用可能にできます。
適切な管理ロールを持っていることを確認してください。このトピックの手順を実行するには、監査員の管理ロールを持っている必要があります。security.xml ファイルにある鍵ストアから証明書をインポートする場合は、監査員と管理者の管理ロールを持っている必要があります。
このタスクについて
暗号化を構成する場合、監査員は以下の選択項目の 1 つを選択できます。
- アプリケーション・サーバーに証明書を自動的に生成させるか、監査員が生成した既存の自己署名証明書を使用します。
- 既存の鍵ストアを使用してこの証明書を保管するか、または新規に鍵ストアを作成してこの証明書を保管します。
トラブルの回避 (Avoid trouble): 管理者ロールと監査員ロールの間で特権を確実に分離するため、監査員は、アプリケーション・サーバー・プロセス外で自己署名証明書を作成し、その証明書の秘密鍵を保持することができます。
gotcha
以下の操作手順を実行して、セキュリティー監査データを暗号化します。
手順
- Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。詳しくは、『wsadmin スクリプト・クライアントの開始』の項目を参照してください。
- セキュリティー監査データの暗号化設定を構成します。
createAuditEncryptionConfig コマンドと以下のパラメーターは、ご使用の監査レコードを暗号化するための監査暗号化モデルを作成する場合に使用します。
-enableAuditEncryption、-certAlias、および -encryptionKeyStoreRef の各パラメーターと、-autogenCert または -importCert のいずれかのパラメーターを指定する必要があります。
表 1. コマンドのパラメーター. この表では、createAuditEncryptionConfig コマンドとそのパラメーターについて説明します。パラメーター |
説明 |
データ型 |
必須 |
-enableAuditEncryption |
監査レコードを暗号化するかどうかを指定します。このパラメーターは、ご使用の監査ポリシー構成を変更します。 |
ブール |
はい |
-certAlias |
生成された証明書、またはインポートされた証明書を識別する別名を指定します。 |
ストリング |
はい |
-encryptionKeyStoreRef |
証明書のインポート先となる鍵ストアの参照 ID を指定します。 |
ストリング |
はい |
-autogenCert |
監査レコードの暗号化に使用される証明書を自動的に生成するかどうかを指定します。
このパラメーターか -importCert パラメーターのどちらかを指定する必要がありますが、両方を指定することはできません。 |
ブール |
いいえ |
-importCert |
既存の証明書をインポートするかどうかを指定して、監査レコードを暗号化します。
このパラメーターか -autogenCert パラメーターのどちらかを指定する必要がありますが、両方を指定することはできません。 |
ブール |
いいえ |
-certKeyFileName |
証明書のインポート元となる鍵ファイルの固有名を指定します。 |
ストリング |
いいえ |
-certKeyFilePath |
証明書のインポート元となる鍵ファイルのロケーションを指定します。 |
ストリング |
いいえ |
-certKeyFileType |
証明書のインポート元となる鍵ファイルのタイプを指定します。 |
ストリング |
いいえ |
-certKeyFilePassword |
証明書のインポート元となる鍵ファイルのパスワードを指定します。 |
ストリング |
いいえ |
-certAliasToImport |
証明書のインポート元の別名を指定します。 |
ストリング |
いいえ |
以下のコマンド例は、暗号化を構成して、システムによる証明書の自動生成をサポートします。
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-autogenCert true -encryptionKeyStoreRef auditKeyStore')
以下のコマンド例は、暗号化を構成して、証明書をインポートします。
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath
install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key
-certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore')
- 構成変更を適用するには、サーバーを再始動する必要があります。
タスクの結果
セキュリティー監査データの暗号化が構成されます。
-enableAuditEncryption パラメーターを true に設定すると、セキュリティー監査が使用可能にされたときに、ご使用のセキュリティー監査システムはセキュリティー監査データを暗号化します。
次のタスク
暗号化モデルを初めて構成した後は、enableAuditEncryption コマンドと disableAuditEncryption コマンドを使用して暗号化のオン/オフを切り替えることができます。
次の例は、enableAuditEncryption コマンドを使用して暗号化をオンにします。
AdminTask.enableAuditEncryption()
次の例は、disableAuditEncryption コマンドを使用して暗号化をオフに指定します。
AdminTask.disableAuditEncryption()