您可以使用 wsadmin 工具来配置安全性审计系统,以签署安全性审计记录。安全性审计提供对可审计事件进行跟踪和归档的功能。
开始之前
请验证您是否具有相应的管理角色。要完成本主题,您必须具有审计员和管理员管理角色。
关于此任务
配置审计数据的签署时,审计员可以选择下列其中一个选项:
- 允许应用程序服务器自动生成证书。
- 使用审计员先前生成的现有自签名证书。
- 使用系统用来对审计记录进行加密的相同自签名证书。
- 使用现有密钥库来存储此证书。
- 创建新的密钥库以存储此证书。
- 使用现有密钥库中的现有自签名证书。
执行以下任务步骤以配置安全性审计数据的签署:
过程
- 通过使用 Jython 脚本编制语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
- 为安全性审计数据配置签署设置。
使用 createAuditSigningConfig 命令来创建签署模型以签署审计记录。
您可以从包含证书的现有密钥文件导入该证书,自动生成证书,或使用用来对审计记录进行加密的相同证书。签署密钥库必须存在于
security.xml 文件中。系统会利用用来签署审计记录的证书,对此密钥库进行更新。
表 1. 命令参数. 将下表中的参数与 createAuditSigningConfig 命令配合使用。您必须指定 -enableAuditSigning、-certAlias 和 -signingKeyStoreRef 参数。参数 |
描述 |
数据类型 |
必需 |
-enableAuditSigning |
指定是否要签署审计记录。此参数会修改审计策略配置。 |
布尔值 |
是 |
-certAlias |
指定用于标识所生成或导入证书的别名。 |
字符串 |
是 |
-signingKeyStoreRef |
指定要将证书导入其中的密钥库的引用标识。 |
字符串 |
是 |
-useEncryptionCert |
指定是否要使用同一证书进行加密和签署。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 |
布尔值 |
否 |
-autogenCert |
指定是否要自动生成用于签署审计记录的证书。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 |
布尔值 |
否 |
-importCert |
指定是否要导入现有证书以签署审计记录。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 |
布尔值 |
否 |
-certKeyFileName |
指定要导入的证书的密钥文件唯一名称。 |
字符串 |
否 |
-certKeyFilePath |
指定要导入的证书的密钥文件位置。 |
字符串 |
否 |
-certKeyFileType |
指定要导入的证书的密钥文件类型。 |
字符串 |
否 |
-certKeyFilePassword |
指定要导入的证书的密钥文件密码。 |
字符串 |
否 |
-certAliasToImport |
指定要导入的证书的别名。 |
字符串 |
否 |
以下命令示例会配置签署,并允许系统自动生成证书:
AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
-autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
以下命令示例会配置签署,并导入证书:
AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12
-certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate
-signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
以下命令示例使用相同的证书进行签署和加密:
AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert
-useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
- 保存配置更改。
请使用以下命令示例来保存配置更改:
AdminConfig.save()
- 重新启动服务器以应用配置更改。
结果
为安全性审计数据配置签署。如果将 -enableAuditSigning 参数设为 true,那么在安全性审计处于已启用状态时,安全性审计系统会签署安全性审计数据。
下一步做什么
在首次配置签署模型时,请使用 enableAuditSigning 和 disableAuditSigning 命令来快速开启和关闭签署。以下示例会使用 enableAuditSigning 命令来开启签署:
AdminTask.enableAuditSigning()
以下示例会使用 disableAuditSigning 命令来关闭签署:
AdminTask.disableAuditSigning()