您可以使用 wsadmin 工具来配置安全性审计系统,以对安全性审计记录进行加密。安全性审计提供对可审计事件进行跟踪和归档的功能。
开始之前
在配置加密前,请设置安全性审计子系统。您可以在完成本主题中的步骤之前或之后启用安全性审计。
请验证您是否具有相应的管理角色。要完成本主题,您必须具有审计员管理角色。如果要从存在于 security.xml 文件中的密钥库导入证书,那么必须具有审计员和管理员管理角色。
关于此任务
在配置加密时,审计员可以选择下列其中一个选项:
- 允许应用程序服务器自动生成证书,或使用审计员所生成的现有自签名证书。
- 使用现有密钥库来存储此证书,或创建新密钥库以存储此证书。
避免故障: 要确保将管理员角色特权和审计员角色特权分开,审计员可以在应用程序服务器进程外部创建自签名证书,并维护该证书的专用密钥。
gotcha
执行以下任务步骤以对安全性审计数据进行加密:
过程
- 通过使用 Jython 脚本编制语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
- 为安全性审计数据配置加密设置。
使用 createAuditEncryptionConfig 命令和以下参数来创建审计加密模型,以对审计记录进行加密。必须指定 -enableAuditEncryption、-certAlias 和 -encryptionKeyStoreRef 参数以及 -autogenCert 或 -importCert 参数。
表 1. 命令参数. 此表描述 createAuditEncryptionConfig 命令及其参数:参数 |
描述 |
数据类型 |
必需 |
-enableAuditEncryption |
指定是否要对审计记录进行加密。此参数会修改审计策略配置。 |
布尔值 |
是 |
-certAlias |
指定用于标识所生成或导入证书的别名。 |
String |
是 |
-encryptionKeyStoreRef |
指定要将证书导入其中的密钥库的引用标识。 |
String |
是 |
-autogenCert |
指定是否要自动生成用于对审计记录进行加密的证书。必须指定此参数或 -importCert 参数,但不能同时指定两者。 |
布尔值 |
否 |
-importCert |
指定是否要导入现有证书以对审计记录进行加密。必须指定此参数或 -autogenCert 参数,但不能同时指定两者。 |
布尔值 |
否 |
-certKeyFileName |
指定从中导入证书的密钥文件的唯一名称。 |
String |
否 |
-certKeyFilePath |
指定从中导入证书的密钥文件所在的位置。 |
String |
否 |
-certKeyFileType |
指定从中导入证书的密钥文件的类型。 |
String |
否 |
-certKeyFilePassword |
指定从中导入证书的密钥文件的密码。 |
String |
否 |
-certAliasToImport |
指定从中导入证书的别名。 |
String |
否 |
以下命令示例会配置加密,并支持系统自动生成证书:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-autogenCert true -encryptionKeyStoreRef auditKeyStore')
以下命令示例会配置加密,并导入证书:
AdminTask.createAuditEncryptionConfig('-enableAuditEncryption true -certAlias auditCertificate
-importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath
install_root/etc/MyServerKeyFile.p12 -certKeyFileType PKCS12 -certKeyFilePassword password4key
-certAliasToImport defaultCertificate -encryptionKeyStoreRef auditKeyStore')
- 必须重新启动服务器才能应用配置更改。
结果
为安全性审计数据配置了加密。如果将 -enableAuditEncryption 参数设为 true,那么在安全性审计处于已启用状态时,安全性审计系统会对安全性审计数据进行加密。
下一步做什么
在首次配置加密模型后,您接着可使用 enableAuditEncryption 和 disableAuditEncryption 命令来开启和关闭加密。
以下示例使用 enableAuditEncryption 命令来开启加密:
AdminTask.enableAuditEncryption()
以下示例使用 disableAuditEncryption 命令来关闭加密:
AdminTask.disableAuditEncryption()