aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorThomas Lenz <tlenz@iaik.tugraz.at>2014-07-10 10:59:15 +0200
committerThomas Lenz <tlenz@iaik.tugraz.at>2014-07-10 10:59:15 +0200
commit29b736fb8e31f8f5592c5617e92c03e5f90149f0 (patch)
tree056488bd6f0b7de46bde44df36225dbcfe0739ed
parentf4d530a433dcf32d12d435de45e53bac9e1c3287 (diff)
downloadmoa-id-spss-29b736fb8e31f8f5592c5617e92c03e5f90149f0.tar.gz
moa-id-spss-29b736fb8e31f8f5592c5617e92c03e5f90149f0.tar.bz2
moa-id-spss-29b736fb8e31f8f5592c5617e92c03e5f90149f0.zip
update handbook
- add network connections which are required
-rw-r--r--id/readme_2.1.0.txt188
-rw-r--r--id/server/doc/handbook/additional/additional.html58
-rw-r--r--spss/handbook/handbook/faq/faq.html48
3 files changed, 292 insertions, 2 deletions
diff --git a/id/readme_2.1.0.txt b/id/readme_2.1.0.txt
new file mode 100644
index 000000000..9b5c7d05d
--- /dev/null
+++ b/id/readme_2.1.0.txt
@@ -0,0 +1,188 @@
+===============================================================================
+MOA ID Version Release 2.1.0 - Wichtige Informationen zur Installation
+===============================================================================
+
+-------------------------------------------------------------------------------
+A. Neuerungen/Änderungen
+-------------------------------------------------------------------------------
+
+Mit MOA ID Version 2.0.1 wurden folgende Neuerungen eingeführt, die jetzt
+erstmals in der Veröffentlichung enthalten sind (siehe auch history.txt im
+gleichen Verzeichnis):
+
+- Neuerungen:
+ - IDP Interfederation für Single Sign-On
+ - MOA-ID Truststore wird auch für Bezug PVP 2.1 metadaten über https verwendet.
+ - Definition neuer Fehlercodes
+ - Single LogOut Unterstützung für PVP 2.1 (SAML2) als Feature mit Betastatus
+
+- Änderungen
+ - Anpassung VIDP Code für STORK
+ - MOA-ID-Konfigurationstool mit überarbeiteter Online-Applikationskonfiguration
+ - Anpassung der protokollspezifischen Fehlerrückgabe
+ - Anpassungen für die Verwendung von Oracle Datenbanksystemen
+ - Kleinere Bug-Fixes
+
+-------------------------------------------------------------------------------
+B. Durchführung eines Updates
+-------------------------------------------------------------------------------
+
+Es wird generell eine Neuinstallation lt. Handbuch empfohlen! Dennoch ist auch
+eine Aktualisierung bestehender Installationen möglich.
+
+...............................................................................
+B.1 Durchführung eines Updates von Version 2.0.1
+...............................................................................
+ 1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+ Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-2.1.0.zip) in
+ ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST
+ bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+ beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+ wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation
+ für MOA ID steht). Löschen Sie darin sowohl die Datei moa-id-auth.war als
+ auch das komplette Verzeichnis moa-id-auth.
+
+4. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+ CATALINA_HOME_ID/webapps.
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+ CATALINA_HOME_ID/webapps.
+
+6. Update der STORK Konfiguration
+ a.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\stork
+ in das Verzeichnis CATALINA_HOME\conf\moa-id\stork.
+ b.) Passen Sie die STORK Konfiguration laut Handbuch -> Konfiguration ->
+ 2.4 Konfiguration des SamlEngines an.
+
+7. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Configuration Konfigurationsdatei
+ CATALINA_HOME\conf\moa-id-configuration\moa-id-configtool.properties
+ a.) general.ssl.certstore=certs/certstore
+ b.) general.ssl.truststore=certs/truststore
+
+8. Kopieren des folgenden zusätzlichen Ordners MOA_ID_AUTH_INST/conf/moa-id-configuration/certs
+ nach CATALINA_HOME\conf\moa-id-configuration\
+
+9. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth Konfigurationsdatei
+ CATALINA_HOME\conf\moa-id\moa-id.properties und Anpassung an das zu verwendeten Schlüsselpaar.
+ a.) protocols.pvp2.idp.ks.assertion.encryption.alias=pvp_assertion
+ protocols.pvp2.idp.ks.assertion.encryption.keypassword=password
+
+10. Kopieren der folgenden zusätzlichen Ordner aus MOA_ID_AUTH_INST/conf/moa-id/
+ nach CATALINA_HOME\conf\moa-id\
+ a.) MOA_ID_AUTH_INST/conf/moa-id/SLTemplates -> CATALINA_HOME\conf\moa-id\
+ b.) MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/slo_template.html ->
+ CATALINA_HOME/conf/moa-id/htmlTemplates/slo_template.html
+
+11. Neuinitialisieren des Datenbank Schema für die MOA-Session. Hierfür stehen
+ zwei Varianten zur Verfügung.
+ a.) Ändern Sie in der Konfigurationsdatei für das Modul MOA-ID-Auth
+ CATALINA_HOME\conf\moa-id\moa-id.properties die Zeile
+ moasession.hibernate.hbm2ddl.auto=update
+ zu
+ moasession.hibernate.hbm2ddl.auto=create
+ Danach werden die Tabellen beim nächsten Startvorgang neu generiert.
+
+ b.) Löschen Sie alle Tabellen aus dem Datenbank Schema für die MOA-Sessixson
+ Informationen per Hand. Alle Tabellen werden beim nächsten Start autmatisch neu generiert.
+
+12 . Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+ Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+...............................................................................
+B.2 Durchführung eines Updates von Version 2.0-RC1
+...............................................................................
+
+1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+ Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-2.0.1.zip) in
+ ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST
+ bezeichnet.
+ Für MOA ID Proxy:
+ Entpacken Sie die Distribution von MOA-ID-Proxy (moa-id-proxy-2.0.1.zip) in
+ ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_PROXY_INST
+ bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+ beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+ wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation
+ für MOA ID steht). Löschen Sie darin sowohl die Datei moa-id-auth.war als
+ auch das komplette Verzeichnis moa-id-auth.
+
+4. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+ CATALINA_HOME_ID/webapps.
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+ CATALINA_HOME_ID/webapps.
+
+6. Update des Cert-Stores.
+ Kopieren Sie den Inhalt des Verzeichnisses
+ MOA_ID_INST_AUTH\conf\moa-spss\certstore in das Verzeichnis
+ CATALINA_HOME\conf\moa-spss\certstore. Wenn Sie gefragt werden, ob Sie
+ vorhandene Dateien oder Unterverzeichnisse überschreiben sollen, dann
+ bejahen sie das.
+
+7. Update der Trust-Profile. Wenn Sie Ihre alten Trust-Profile durch die Neuen ersetzen
+ wollen, dann gehen Sie vor, wie in Punkt a). Wenn Sie Ihre eigenen Trust-Profile
+ beibehalten wollen, dann gehen Sie vor, wie in Punkt b).
+
+ a. Gehen Sie wie folgt vor, um die Trust-Profile auszutauschen:
+
+ 1) Löschen Sie das Verzeichnis CATALINA_HOME\conf\moa-spss\trustprofiles.
+ 2) Kopieren Sie das Verzeichnis
+ MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles in das Verzeichnis
+ CATALINA_HOME\conf\moa-spss.
+
+ b. Falls Sie Ihre alten Trust-Profile beibehalten wollen, gehen Sie wie
+ folgt vor, um die Profile auf den aktuellen Stand zu bringen:
+
+ 1) Ergänzen Sie ihre Trustprofile durch alle Zertifikate aus den
+ entsprechenden Profilen im Verzeichnis
+ MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles, die nicht in Ihren
+ Profilen enthalten sind. Am einfachsten ist es, wenn Sie den Inhalt
+ der einzelnen Profile aus der Distribution
+ (MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles) in die entsprechenden
+ Profile Ihrer Installation (CATALINA_HOME\conf\moa-spss\trustProfiles)
+ kopieren und dabei die vorhandenen gleichnamigen Zertifikate
+ überschreiben), also z.B: Kopieren des Inhalts von
+ MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles\
+ MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten nach
+ CATALINA_HOME\conf\moa-spss\trustProfiles\
+ MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten usw.
+
+8. Update der Default html-Templates für die Bürgerkartenauswahl.
+
+ a.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\htmlTemplates
+ in das Verzeichnis CATALINA_HOME\conf\moa-id\htmlTemplates.
+ b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id-configuration\htmlTemplates
+ in das Verzeichnis CATALINA_HOME\conf\moa-id-configuration\htmlTemplates.
+
+9. Update der STORK Konfiguration
+ a.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-id\stork
+ in das Verzeichnis CATALINA_HOME\conf\moa-id\stork.
+ b.) Passen Sie die STORK Konfiguration laut Handbuch -> Konfiguration ->
+ 2.4 Konfiguration des SamlEngines an.
+
+10. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth Konfigurationsdatei
+ CATALINA_HOME\conf\moa-id\moa-id.properties
+
+ a.) configuration.validation.certificate.QC.ignore=false
+ b.) protocols.pvp2.assertion.encryption.active=false
+
+11. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+ Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+...............................................................................
+B.3 Durchführung eines Updates von Version <= 1.5.1
+...............................................................................
+
+Bitte führen Sie eine Neuinstallation von MOA ID laut Handbuch durch und passen
+Sie die mitgelieferte Musterkonfiguration entsprechend Ihren Bedürfnissen unter
+Zuhilfenahme Ihrer bisherigen Konfiguration an.
+
diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html
index 97c7794cf..fb4e76733 100644
--- a/id/server/doc/handbook/additional/additional.html
+++ b/id/server/doc/handbook/additional/additional.html
@@ -30,6 +30,7 @@
<li><a href="#statisticdata">Logging von Statistikdaten</a></li>
</ol>
</li>
+ <li><a href="#networkconnections">Ben&ouml;tigte Netzwerkverbindungen (incoming / outgoing)</a></li>
</ol>
<hr/>
<h1><a name="allgemeines"></a>1 Datenmanagement</h1>
@@ -191,6 +192,63 @@
<td width="757" valign="top"><p>Fehlermeldung in textueller Form (max. 255 Zeichen lang)</p></td>
</tr>
</table>
+<p>&nbsp;</p>
+<h1><a name="networkconnections" id="networkconnections"></a>2 Ben&ouml;tigte Netzwerkverbindungen (incoming / outgoing)</h1>
+<p>F&uuml;r die Betrieb des Modules MOA-ID-Auth werden Netzwerkverbindungen zu externen Service ben&ouml;tigt. Die nachfolgende Tabelle gibt eine Aufstellung der ben&ouml;tigten Verbindungen und eine kurze Beschreibung &uuml;ber deren Funktion.</p>
+<table border="1" cellpadding="0" cellspacing="0">
+ <tr>
+ <td width="105" height="34" valign="middle"><strong>Service</strong></td>
+ <td width="275" valign="middle"><strong>URL</strong></td>
+ <td width="63" valign="middle"><strong>Port</strong></td>
+ <td width="87" valign="middle"><strong>Richtung</strong></td>
+ <td width="702" valign="middle"><strong>Beschreibung</strong></td>
+ </tr>
+ <tr>
+ <td valign="middle"><p>MOA-ID-Auth</p></td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">80, 443</td>
+ <td align="center" valign="middle">eingehend</td>
+ <td valign="middle"><p>Front-Channel und Back-Channel Verbinding zum IDP</p></td>
+ </tr>
+ <tr>
+ <td valign="middle"><p>MOA-ID-Auth</p></td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">80, 443</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Abholen von Template oder PVP 2.1 Metadaten</td>
+ </tr>
+ <tr>
+ <td height="26" valign="middle">LDAP</td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">389, 636</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Zertifikatspr&uuml;fung</td>
+ </tr>
+ <tr>
+ <td width="105" valign="middle"><p>OSCP / CRL</p></td>
+ <td width="275" align="center" valign="middle">*</td>
+ <td width="63" align="center" valign="middle">80, 443</td>
+ <td width="87" align="center" valign="middle">ausgehend</td>
+ <td width="702" valign="middle"><p>Zertifikatspr&uuml;fung</p></td>
+ </tr>
+ <tr>
+ <td valign="middle">OVS</td>
+ <td align="center" valign="middle"><p><strong>Prod:</strong> <a href="https://vollmachten.stammzahlenregister.gv.at/mis/">vollmachten.stammzahlenregister.gv.at</a><br>
+ <strong>Test:</strong> <a href="https://vollmachten.egiz.gv.at/mis-test/">vollmachten.egiz.gv.at</a></p></td>
+ <td align="center" valign="middle">443</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Online-Vollmachten Service (MIS) via SOAP Service</td>
+ </tr>
+ <tr>
+ <td height="46" valign="middle">SZR-Gateway</td>
+ <td align="left" valign="middle"><strong>Prod: </strong><a href="https://gateway.stammzahlenregister.gv.at/">gateway.stammzahlenregister.gv.at</a><br>
+ <strong>Test:</strong> <a href="http://szrgw.egiz.gv.at/">szrgw.egiz.gv.at</a></td>
+ <td align="center" valign="middle">443</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Stammzahlenregister Gateway via SOAP Service</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
<p align="left">&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
diff --git a/spss/handbook/handbook/faq/faq.html b/spss/handbook/handbook/faq/faq.html
index 4e9ff77a3..fc3f98d44 100644
--- a/spss/handbook/handbook/faq/faq.html
+++ b/spss/handbook/handbook/faq/faq.html
@@ -44,8 +44,9 @@
<li>Ich m&ouml;chte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das? [<a href="#konfiguration_2">Zur Antwort</a>]</li>
<li>Meine bestehende Konfigurationsdatei funktioniert mit MOA SP/SS 1.3 oder h&ouml;her nicht mehr. Was ist passiert?
[<a href="#konfiguration_3">Zur Antwort</a>]</li>
+ <li>Welche Netzwerkverbindungen (incoming / outgoing) werden durch MOA SP/SS ben&ouml;tigt? [<a href="#konfiguration_4">Zur Antwort</a>]</li>
</ol>
- <h2>Verwendung</h2>
+<h2>Verwendung</h2>
<ol>
<li>Bei der Pr&uuml;fung einer Signatur liefert die Pr&uuml;fung des Zertifikatsstatus den Code 1. Was kann der Fehler sein? [<a href="#verwendung_1">Zur Antwort</a>] </li>
</ol>
@@ -103,8 +104,51 @@ http.nonProxyHosts=&quot;&lt;exceptionhosts&gt;&quot;</pre>
dem Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren k&ouml;nnen.</p>
<p>Informationen zur Verwendung des Werkzeugs finden Sie in <a href="../config/config.html#&#252;bersicht_zentraledatei_aktualisierung">Abschnitt 1.2.1</a> des Konfigurationshandbuchs. </p>
</li>
+ <li class="faq">
+ <div class="faq-question"><a name="konfiguration_4" id="konfiguration_4"></a>Welche Netzwerkverbindungen (incoming / outgoing) werden durch MOA SP/SS ben&ouml;tigt?</div>
+ <p> Die nachfolgende Tabelle gibt eine Aufstellung der ben&ouml;tigten Netzberbindungen und eine kurze Beschreibung &uuml;ber deren Funktion.</p>
+ <table border="1" cellpadding="0" cellspacing="0">
+ <tr>
+ <td width="105" height="34" valign="middle"><strong>Service</strong></td>
+ <td width="275" valign="middle"><strong>URL</strong></td>
+ <td width="63" valign="middle"><strong>Port</strong></td>
+ <td width="87" valign="middle"><strong>Richtung</strong></td>
+ <td width="702" valign="middle"><strong>Beschreibung</strong></td>
+ </tr>
+ <tr>
+ <td valign="middle"><p>MOA-SP/SS</p></td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">80, 443</td>
+ <td align="center" valign="middle">eingehend</td>
+ <td valign="middle"><p>Verbindungen zum Signature-Creation und Signature-Verification Service </p></td>
+ </tr>
+ <tr>
+ <td valign="middle"><p>Referenzen / TSL</p></td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">80, 443</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Zum Aufl&ouml;sen von externen Referenzen, welche in den Requests enthalten sind und zum Download der Trust-Status Listen (TSL).<br>
+ <strong>Hinweis: </strong>Werden externe Referenzen &uuml;ber andere Protokolle bezogen m&uuml;ssen die jeweiligen Ports ebenfalls freigeschalten werden.</td>
+ </tr>
+ <tr>
+ <td height="26" valign="middle">LDAP</td>
+ <td align="center" valign="middle">*</td>
+ <td align="center" valign="middle">389, 636</td>
+ <td align="center" valign="middle">ausgehend</td>
+ <td valign="middle">Zertifikatspr&uuml;fung</td>
+ </tr>
+ <tr>
+ <td width="105" valign="middle"><p>OSCP / CRL</p></td>
+ <td width="275" align="center" valign="middle">*</td>
+ <td width="63" align="center" valign="middle">80, 443</td>
+ <td width="87" align="center" valign="middle">ausgehend</td>
+ <td width="702" valign="middle"><p>Zertifikatspr&uuml;fung</p></td>
+ </tr>
+ </table>
+ <br>
+ </li>
</ol>
- <h2>Verwendung</h2>
+<h2>Verwendung</h2>
<ol>
<li class="faq"><div class="faq-question"><a name="verwendung_1" id="verwendung_1"></a>Bei der Pr&uuml;fung einer Signatur liefert die Pr&uuml;fung des Zertifikatsstatus den Code 1. Was kann der Fehler sein? </div>
<p>Dieser Fehlercode bedeutet: Es konnte keine formal korrekte Zertifikatskette vom Signatorzertifikat zu einem vertrauensw&uuml;rdigen Wurzelzertifikat konstruiert werden. Das kann grunds&auml;tzlich eine der beiden folgenden Ursachen haben:</p>