使用脚本来签署安全性审计数据

您可以使用 wsadmin 工具来配置安全性审计系统,以签署安全性审计记录。安全性审计提供对可审计事件进行跟踪和归档的功能。

开始之前

请验证您是否具有相应的管理角色。要完成本主题,您必须具有审计员和管理员管理角色。

关于此任务

配置审计数据的签署时,审计员可以选择下列其中一个选项:
  • 允许应用程序服务器自动生成证书。
  • 使用审计员先前生成的现有自签名证书。
  • 使用系统用来对审计记录进行加密的相同自签名证书。
  • 使用现有密钥库来存储此证书。
  • 创建新的密钥库以存储此证书。
  • 使用现有密钥库中的现有自签名证书。

执行以下任务步骤以配置安全性审计数据的签署:

过程

  1. 通过使用 Jython 脚本编制语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
  2. 为安全性审计数据配置签署设置。

    使用 createAuditSigningConfig 命令来创建签署模型以签署审计记录。

    您可以从包含证书的现有密钥文件导入该证书,自动生成证书,或使用用来对审计记录进行加密的相同证书。签署密钥库必须存在于 security.xml 文件中。系统会利用用来签署审计记录的证书,对此密钥库进行更新。
    表 1. 命令参数. 将下表中的参数与 createAuditSigningConfig 命令配合使用。您必须指定 -enableAuditSigning、-certAlias 和 -signingKeyStoreRef 参数。
    参数 描述 数据类型 必需
    -enableAuditSigning 指定是否要签署审计记录。此参数会修改审计策略配置。 布尔值
    -certAlias 指定用于标识所生成或导入证书的别名。 字符串
    -signingKeyStoreRef 指定要将证书导入其中的密钥库的引用标识。 字符串
    -useEncryptionCert 指定是否要使用同一证书进行加密和签署。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 布尔值
    -autogenCert 指定是否要自动生成用于签署审计记录的证书。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 布尔值
    -importCert 指定是否要导入现有证书以签署审计记录。您必须指定 -useEncryptionCert、-autogenCert 或 -importCert 参数。 布尔值
    -certKeyFileName 指定要导入的证书的密钥文件唯一名称。 字符串
    -certKeyFilePath 指定要导入的证书的密钥文件位置。 字符串
    -certKeyFileType 指定要导入的证书的密钥文件类型。 字符串
    -certKeyFilePassword 指定要导入的证书的密钥文件密码。 字符串
    -certAliasToImport 指定要导入的证书的别名。 字符串
    以下命令示例会配置签署,并允许系统自动生成证书:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    以下命令示例会配置签署,并导入证书:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12 
    -certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate 
    -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    以下命令示例使用相同的证书进行签署和加密:
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
  3. 保存配置更改。
    请使用以下命令示例来保存配置更改:
    AdminConfig.save()
  4. 重新启动服务器以应用配置更改。

结果

为安全性审计数据配置签署。如果将 -enableAuditSigning 参数设为 true,那么在安全性审计处于已启用状态时,安全性审计系统会签署安全性审计数据。

下一步做什么

在首次配置签署模型时,请使用 enableAuditSigning 和 disableAuditSigning 命令来快速开启和关闭签署。以下示例会使用 enableAuditSigning 命令来开启签署:
AdminTask.enableAuditSigning()
以下示例会使用 disableAuditSigning 命令来关闭签署:
AdminTask.disableAuditSigning()

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7signaudit
文件名:txml_7signaudit.html