Zwischensicherung. KeyGroup hinzugefügt.

git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@298 d688527b-c9ab-4aba-bd8d-4036d912da1d

1 files changed, 59 insertions, 1 deletions

diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html
index 5201e548b..e7cb39d76 100644
--- a/spss.handbook/handbook/config/config.html
+++ b/spss.handbook/handbook/config/config.html
@@ -316,12 +316,70 @@
           <ul>
             <li>Attribut <code>id</code>: Dieses  Attribut vom Typ <code>xs:token</code> enth&auml;lt einen frei w&auml;hlbaren Identifikator f&uuml;r dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroup</code> auf dieses Konfigurationselement referenziert.</li>
             <li> Attribut <code>filename</code>: Dieses  Attribut vom Typ <code>xs:string</code> enth&auml;lt den Dateinamen der PKCS#12-Datei, die den Software-Schl&uuml;sselspeicher repr&auml;sentiert. Der Wert enth&auml;lt  einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.</li>
-            <li>Attribut <code>slotID</code>: Dieses optionale Attribut vom Typ <code>xs:string</code> gibt des Slot der PKCS#11-Schnittstelle an, &uuml;ber den der Hardware-Schl&uuml;sselspeicher von MOA SS angesprochen werden soll. Fehlt dieses Attribut, w&auml;hlt MOA SS selbst einen Slot aus der Liste der verf&uuml;gbaren Slots aus. </li>
             <li>Attribut <code>password</code>: Dieses  Attribut vom Typ <code>xs:string</code> enth&auml;lt das Passwort zum Entschl&uuml;sseln der Inhalte der PKCS#12-Datei. </li>
           </ul>
           <p>Das Element hat keinen Element-Inhalt. </p></td>
     </tr>
   </table>
+  <h2><a name="konfigurationsparameter_keygroup" id="konfigurationsparameter_keygroup"></a>2.6 Schl&uuml;sselgruppen </h2>
+  <table class="fixedWidth"  border="1" cellpadding="2">
+    <tr>
+      <td>Name</td>
+      <td><code>cfg:KeyGroup</code></td>
+    </tr>
+    <tr>
+      <td>Gebrauch</td>
+      <td>optional</td>
+    </tr>
+    <tr>
+      <td>Erl&auml;uterung</td>
+      <td><p>Mit diesem Element wird in MOA SS eine Schl&uuml;sselgruppe definiert. Eine Schl&uuml;sselgruppe ist eine Zusammenfassung von einem oder mehreren privaten Schl&uuml;sseln, die  in Hardware- bzw. Softwareschl&uuml;sselspeichern (vergleiche Abschnitte <a href="#konfigurationsparameter_hardwarekeymodule">2.4</a> bzw. <a href="#konfigurationsparameter_softwarekeymodule">2.5</a>) verwaltet werden. Die Schl&uuml;sselgruppe wird vom Kunden von MOA SS &uuml;ber einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen. </p>
+        <p>Sinn der Zusammenfassung von mehreren privaten Schl&uuml;sseln zu einer Schl&uuml;sselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schl&uuml;ssel aus der Schl&uuml;sselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit m&ouml;gliche Parallelisierung (mehrere private Schl&uuml;ssel werden parallel f&uuml;r Anfragen, die auf die gleiche Schl&uuml;sselgruppe referenzieren) l&auml;sst sich der Durchsatz der erstellten Signaturen verbessern. </p>
+        <p>Das Element <code>cfg:KeyGroup</code> weist ein obligatorisches Attribut auf:</p>
+          <ul>
+            <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enth&auml;lt einen frei w&auml;hlbaren Identifikator f&uuml;r dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroupMapping</code> auf dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung der Signatur verwendet, um die zu verwendende Schl&uuml;sselgruppe anzugeben. </li>
+          </ul>
+      <p>Das Element <code>cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p>
+      <ul>
+        <li>Element <code>cfg:Key</code>: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt einen der privaten Schl&uuml;ssel, aus denen sich die Schl&uuml;sselgruppe zusammensetzt. Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:
+          <ul>
+            <li>Element <code>cfg:KeyModuleID</code>: Dieses Element kommt genau einmal vor. Mit ihm wird auf einen der konfigurierten Hardware- oder Software-Schl&uuml;sselspeicher referenziert. Sein Textinhalt vom Typ <code>xs:token</code> enth&auml;lt den Identifikator des Hardware- oder Software-Schl&uuml;sselspeichers, so wie er in <code>cfg:HardwareKeyModule/@id</code> bzw. <code>cfg:SoftwareKeyModule/@id</code> festgelegt wurde. </li>
+            <li>Element <code>cfg:KeyCertIssuerSerial</code>: Dieses Element kommt ebenfalls genau einmal vor. Mit ihm wird ein privater Schl&uuml;ssel innerhalb des mit <code>cfg:KeyModuleID</code> ausgew&auml;hlten Schl&uuml;sselspeichers ausgew&auml;hlt (sowohl Hardware- als auch Softwareschl&uuml;sselspeicher k&ouml;nnen ja prinzipiell mehr als nur einen einzigen privaten Schl&uuml;ssel verwalten). Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:
+              <ul>
+                <li>Element <code>dsig:X509IssuerName</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:string</code> enth&auml;lt den Namen des Ausstellers des Zertifikats f&uuml;r den ausgew&auml;hlten privaten Schl&uuml;ssel.</li>
+                <li>Element <code>dsig:X509SerialNumber</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:integer</code> enth&auml;lt die Seriennummer des Zertifikats f&uuml;r den ausgew&auml;hlten privaten Schl&uuml;ssel. </li>
+                </ul>
+              </li>
+            </ul>
+          </li>
+      </ul>
+      <p>Um auf einfache Weise f&uuml;r alle in Ihren Schl&uuml;sselspeichern enthaltenen privaten Schl&uuml;ssel die jeweiligen Werte f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu erhalten, gehen Sie am besten wie folgt vor:</p>
+      <ol>
+        <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schl&uuml;sselspeicher mit Hilfe der Konfigurationselemente <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code>. </li>
+        <li>Starten Sie nun - mit bewusst fehlenden <code>cfg:KeyGroup</code> Elementen - den MOA SP/SS Server. Stellen Sie dabei sicher, dass das Log-Level f&uuml;r den Logger <code>moa.spss.server</code> zumindest auf das Niveau <code>info</code> eingestellt ist (<span class="comment">Informationen zur Konfiguration des Loggings von MOA SP/SS finden Sie hier</span>). Im Log-File werden dann alle verf&uuml;gbaren privaten Schl&uuml;ssel an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:<br>
+          <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br>  ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7
+INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key 
+  ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br>  ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre> 
+  Der Wert der Eigenschaft ID des Logging-Eintrags gliedert sich in drei Teile:
+  <ol>
+    <li>Der erste Teil enth&auml;lt den Identifikator des Hardware- bzw. Softwareschl&uuml;sselspeichers, so wie er im entsprechenden Konfigurationselement <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code> erfasst wurde. </li>
+    <li>Der zweite Teil enth&auml;lt nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats f&uuml;r den privaten Schl&uuml;ssel, so wie er in <code>dsig:X509IssuerName</code> ben&ouml;tigt wird. </li>
+    <li>Der dritte Teil enth&auml;lt nach dem zweiten Semikolon die Seriennummer des Zertifikats f&uuml;r den privaten Schl&uuml;ssel, so wie er in <code>dsig:X509SerialNumber</code> ben&ouml;tigt wird. </li>
+    </ol>
+        </li>
+        <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schl&uuml;sselgruppen, die in MOA SS zur Verf&uuml;gung stehen sollen. </li>
+        </ol>
+      <p>Wenn Ihnen f&uuml;r einen privaten Schl&uuml;ssel, den Sie in eine Schl&uuml;sselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, k&ouml;nnen Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p>
+      <pre>certtool -info &lt;certfilename&gt;</pre>
+      <p><code>&lt;certfilename&gt;</code> enth&auml;lt den Namen der DER-kodierten Zertifikatsdatei, f&uuml;r die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p>
+      <pre>SubjectDN (RFC2253): 
+  CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
+IssuerDN (RFC2253) : 
+  CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number      : 
+  9</pre>      
+      <p>Die Werte f&uuml;r <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td>
+    </tr>
+  </table>
   <h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen </h1>
   <p>&nbsp; </p>
 </body>