aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorgregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-04-18 13:21:09 +0000
committergregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-04-18 13:21:09 +0000
commit0710268b95bf91b3bf3f4e5056cba70f6abb4efa (patch)
treea39117160feec13f20a2ab89b8854a66bde576c4
parentd123069e6db15c988f94790298d3dfb61bd87546 (diff)
downloadmoa-id-spss-0710268b95bf91b3bf3f4e5056cba70f6abb4efa.tar.gz
moa-id-spss-0710268b95bf91b3bf3f4e5056cba70f6abb4efa.tar.bz2
moa-id-spss-0710268b95bf91b3bf3f4e5056cba70f6abb4efa.zip
Zwischensicherung. CRLArchive und Profile hinzugefĆ¼gt.
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@300 d688527b-c9ab-4aba-bd8d-4036d912da1d
-rw-r--r--spss.handbook/handbook/config/config.html48
1 files changed, 43 insertions, 5 deletions
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html
index 6577aa78c..da1295348 100644
--- a/spss.handbook/handbook/config/config.html
+++ b/spss.handbook/handbook/config/config.html
@@ -73,6 +73,10 @@
<td><code>http://www.w3.org/2000/09/xmldsig#</code></td>
</tr>
<tr>
+ <td>moa</td>
+ <td><code>http://reference.e-government.gv.at/namespace/moa/20020822#</code></td>
+ </tr>
+ <tr>
<td><code>xs</code></td>
<td><code>http://www.w3.org/2001/XMLSchema</code></td>
</tr>
@@ -370,14 +374,12 @@ INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
<li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schl&uuml;sselgruppen, die in MOA SS zur Verf&uuml;gung stehen sollen. </li>
</ol>
<p>Wenn Ihnen f&uuml;r einen privaten Schl&uuml;ssel, den Sie in eine Schl&uuml;sselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, k&ouml;nnen Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p>
- <pre>certtool -info &lt;certfilename&gt;</pre>
- <p><code>&lt;certfilename&gt;</code> enth&auml;lt den Namen der DER-kodierten Zertifikatsdatei, f&uuml;r die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p>
+ <pre>certtool -info &lt;certfilename&gt;</pre> <p><code>&lt;certfilename&gt;</code> enth&auml;lt den Namen der DER-kodierten Zertifikatsdatei, f&uuml;r die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p>
<pre>SubjectDN (RFC2253):
CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
IssuerDN (RFC2253) :
CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number :
- 9</pre>
- <p>Die Werte f&uuml;r <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td>
+ 9</pre> <p>Die Werte f&uuml;r <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td>
</tr>
</table>
<h2><a name="konfigurationsparameter_keygroupmapping" id="konfigurationsparameter_keygroupmapping"></a>2.7 Zuordnung von Schl&uuml;sselgruppen zu Benutzern</h2>
@@ -424,13 +426,49 @@ IssuerDN (RFC2253) :
<li>Element <code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet werden, um f&uuml;r bestimmte Vertrauensanker (<span class="comment">vergleiche Abschnitt TBD</span>) Ausnahmen vom Default-Modell vorzugeben. <br>
Das Element weist ein obligatorisches Attribut auf:
<ul>
- <li>Attribut <code>mode</code>: Dieses Attribut gibt jenes Modell an, das von MOA SP f&uuml;r die Pr&uuml;fung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:TrustAnchor/dsig:X509IssuerName</code> und <code>cfg:TrustAnchor/dsig:X509SerialNumber</code> angegebenen Vertrauensanker m&uuml;nden. </li>
+ <li>Attribut <code>mode</code>: Dieses Attribut gibt jenes Modell an, das von MOA SP f&uuml;r die Pr&uuml;fung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:TrustAnchor/dsig:X509IssuerName</code> und <code>cfg:TrustAnchor/dsig:X509SerialNumber</code> angegebenen Vertrauensanker m&uuml;nden. G&uuml;ltige Werte sind <code>chaining</code> (Kettenmodell) oder <code>pkix</code> (Schalenmodell).</li>
</ul>
<p>Der Element-Inhalt von <code>cfg:TrustAnchor</code> entspricht jenem von <code>cfg:KeyCertIssuerSerial</code> in Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>. Um zu den Werten f&uuml;r Ausstellername und Seriennummer des Vertrauensankers zu kommen, k&ouml;nnen Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>) verwenden. </p>
</li>
</ul> <p class="remark">Bitte beachten Sie: F&uuml;r maximal ein Konfigurationselement <code>cfg:KeyGroupMapping</code> kann <code>cfg:X509IssuerSerial</code> auch weggelassen werden. Die darin enthaltenen Schl&uuml;sselgruppen stehen dann allen Benutzern von MOA SS gleicherma&szlig;en zur Verf&uuml;gung.</p></td>
</tr>
</table>
+ <h2><a name="konfigurationsparameter_crlarchive" id="konfigurationsparameter_crlarchive"></a>2.8 Archivierungsdauer f&uuml;r Widerrufsinformationen</h2>
+ <table class="fixedWidth" border="1" cellpadding="2">
+ <tr>
+ <td>Name</td>
+ <td><code>cfg:CRLArchive</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>optional</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p> Das Element <code>cfg:CRLArchive</code> gibt an, wie lange Widerrufsinformationen von MOA SP archiviert werden m&uuml;ssen. Das Element wird von MOA SP nur dann ausgewertet, wenn der generische Konfigurationsparameter f&uuml;r die Archivierung von Widerrufsinformationen (<code>cfg:GenericConfiguration/@name=&quot;archiveRevocationInfo&quot;) </code>auf true gesetzt ist. </p>
+ <p>Das Element weist ein obligatorisches Attribut auf:</p>
+ <ul>
+ <li>Attribut <code>duration</code>: Dieses Attribut vom Typ<code> xs:nonNegativeInteger</code> gibt die Archivierungsdauer f&uuml;r Widerrufsinformationen in Tagen an. </li>
+ </ul>
+ <p>Das Element hat keinen Element-Inhalt </p></td>
+ </tr>
+ </table>
+ <h2><a name="konfigurationsparameter_crldp" id="konfigurationsparameter_crldp"></a>2.9 Manuelle Konfiguration von Verteilungspunkten f&uuml;r Widerrufslisten</h2>
+ <p>&nbsp; </p>
+ <h2><a name="konfigurationsparameter_profiles" id="konfigurationsparameter_profiles"></a>2.10 Vordefinierte Profile</h2>
+ <p>MOA SP/SS erlaubt die Hinterlegung von vordefinierten Profilen f&uuml;r folgende Bereiche, um die Angabe von st&auml;ndig wiederkehrenden Informationen in Requests zur Erstellung bzw. Pr&uuml;fung von Signaturen zu vermeiden:</p>
+ <ul>
+ <li><code>cfg:CreateSignatureEnvironmentProfile</code>: Enth&auml;lt f&uuml;r eine zu erstellende XML-Signatur, die in ein bereits bestehendes XML-Dokument integriert werden soll, die Stelle, an der die XML-Signatur eingef&uuml;gt werden soll, sowie allenfalls f&uuml;r die Verarbeitung des bestehenden XML-Dokuments notwendige Erg&auml;nzungsobjekte (z.B. ein XML-Schema f&uuml;r das validierende Parsen des bestehenden XML-Dokuments).</li>
+ <li><code>cfg:CreateTransformsInfoProfile</code>: Enth&auml;lt f&uuml;r ein bestimmtes Datenobjekt f&uuml;r eine zu erstellende XML-Signatur die auf dieses Datenobjekt anzuwendenden Transformationen, sowie allenfalls f&uuml;r die Durchf&uuml;hrung der Transformationen notwendige Erg&auml;nzungsobjekte (z.B. einen zu importierenden Stylesheet f&uuml;r eine XSL-Transformation).</li>
+ <li><code>cfg:VerifyTransformsInfoProfile</code>: Enth&auml;lt f&uuml;r ein bestimmtes Datenobjekt f&uuml;r eine zu pr&uuml;fende XML-Signatur einen f&uuml;r dieses Datenobjekt erlaubten Transformationsweg, bestehend aus den anzuwendenden Transformationen, sowie allenfalls f&uuml;r die Durchf&uuml;hrung der Transformationen erlaubten Erg&auml;nzungsobjekte (z.B. einen zu importierenden Stylesheet f&uuml;r eine XSL-Transformation).</li>
+ <li><code>cfg:SupplementProfile</code>: Enth&auml;lt f&uuml;r ein Datenobjekt in der zu pr&uuml;fenden XML-Signatur ein allenfalls f&uuml;r die Durchf&uuml;hrung der vorgegebenen Transformationen notwendiges Erg&auml;nzungsobjekt (z.B. einen zu importierenden Stylesheet f&uuml;r eine XSL-Transformation).</li>
+ </ul>
+ <p>Jedes dieser Elemente kann dabei beliebig oft vorkommen. Alle Elemente teilen den gleichen Aufbau; sie weisen zwei obligatorische Attribute auf und haben keinen Element-Inhalt:</p>
+ <ul>
+ <li>Attribut <code> id</code>: Dieses Attribut vom Typ <code>xs:token</code> enth&auml;lt einen frei w&auml;hlbaren Identifikator f&uuml;r dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Erstellung bzw. zur &Uuml;berpr&uuml;fung der Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche die Elemente <code>moa:CreateSignatureEnvironmentProfileID</code>, <code>moa:CreateTransformsInfoProfileID</code>, <code>moa:VerifyTransformsInfoProfileID</code>, <code>moa:SupplementProfileID</code>). </li>
+ <li>Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enth&auml;lt den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enth&auml;lt einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als Wurzelelement eines der Elemente <code>moa:CreateSignatureEnvironmentProfile</code>, <code>moa:CreateTransformsInfoProfile</code>, <code>moa:VerifyTransformsInfoProfile</code> oder <code>moa:SupplementProfile</code> enthalten.</li>
+ </ul>
+ <p>&nbsp; </p>
<h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen </h1>
<p>&nbsp; </p>
</body>