diff options
author | gregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2005-04-18 12:00:00 +0000 |
---|---|---|
committer | gregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2005-04-18 12:00:00 +0000 |
commit | 806500d31fd4f95f03788077fc7ee0c7f2bf128f (patch) | |
tree | 24ac31f95e266781abeb626a8f908f7f828a8d70 /spss.handbook/handbook/config | |
parent | f05508306ae8ee745ab0baef9ca7475737993a2e (diff) | |
download | moa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.tar.gz moa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.tar.bz2 moa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.zip |
Zwischensicherung. KeyGroup hinzugefĆ¼gt.
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@298 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat (limited to 'spss.handbook/handbook/config')
-rw-r--r-- | spss.handbook/handbook/config/config.html | 60 |
1 files changed, 59 insertions, 1 deletions
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 5201e548b..e7cb39d76 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -316,12 +316,70 @@ <ul> <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroup</code> auf dieses Konfigurationselement referenziert.</li> <li> Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält den Dateinamen der PKCS#12-Datei, die den Software-Schlüsselspeicher repräsentiert. Der Wert enthält einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.</li> - <li>Attribut <code>slotID</code>: Dieses optionale Attribut vom Typ <code>xs:string</code> gibt des Slot der PKCS#11-Schnittstelle an, über den der Hardware-Schlüsselspeicher von MOA SS angesprochen werden soll. Fehlt dieses Attribut, wählt MOA SS selbst einen Slot aus der Liste der verfügbaren Slots aus. </li> <li>Attribut <code>password</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält das Passwort zum Entschlüsseln der Inhalte der PKCS#12-Datei. </li> </ul> <p>Das Element hat keinen Element-Inhalt. </p></td> </tr> </table> + <h2><a name="konfigurationsparameter_keygroup" id="konfigurationsparameter_keygroup"></a>2.6 Schlüsselgruppen </h2> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:KeyGroup</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>optional</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>Mit diesem Element wird in MOA SS eine Schlüsselgruppe definiert. Eine Schlüsselgruppe ist eine Zusammenfassung von einem oder mehreren privaten Schlüsseln, die in Hardware- bzw. Softwareschlüsselspeichern (vergleiche Abschnitte <a href="#konfigurationsparameter_hardwarekeymodule">2.4</a> bzw. <a href="#konfigurationsparameter_softwarekeymodule">2.5</a>) verwaltet werden. Die Schlüsselgruppe wird vom Kunden von MOA SS über einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen. </p> + <p>Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schlüssel aus der Schlüsselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit mögliche Parallelisierung (mehrere private Schlüssel werden parallel für Anfragen, die auf die gleiche Schlüsselgruppe referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern. </p> + <p>Das Element <code>cfg:KeyGroup</code> weist ein obligatorisches Attribut auf:</p> + <ul> + <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroupMapping</code> auf dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung der Signatur verwendet, um die zu verwendende Schlüsselgruppe anzugeben. </li> + </ul> + <p>Das Element <code>cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p> + <ul> + <li>Element <code>cfg:Key</code>: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt einen der privaten Schlüssel, aus denen sich die Schlüsselgruppe zusammensetzt. Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: + <ul> + <li>Element <code>cfg:KeyModuleID</code>: Dieses Element kommt genau einmal vor. Mit ihm wird auf einen der konfigurierten Hardware- oder Software-Schlüsselspeicher referenziert. Sein Textinhalt vom Typ <code>xs:token</code> enthält den Identifikator des Hardware- oder Software-Schlüsselspeichers, so wie er in <code>cfg:HardwareKeyModule/@id</code> bzw. <code>cfg:SoftwareKeyModule/@id</code> festgelegt wurde. </li> + <li>Element <code>cfg:KeyCertIssuerSerial</code>: Dieses Element kommt ebenfalls genau einmal vor. Mit ihm wird ein privater Schlüssel innerhalb des mit <code>cfg:KeyModuleID</code> ausgewählten Schlüsselspeichers ausgewählt (sowohl Hardware- als auch Softwareschlüsselspeicher können ja prinzipiell mehr als nur einen einzigen privaten Schlüssel verwalten). Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: + <ul> + <li>Element <code>dsig:X509IssuerName</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:string</code> enthält den Namen des Ausstellers des Zertifikats für den ausgewählten privaten Schlüssel.</li> + <li>Element <code>dsig:X509SerialNumber</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:integer</code> enthält die Seriennummer des Zertifikats für den ausgewählten privaten Schlüssel. </li> + </ul> + </li> + </ul> + </li> + </ul> + <p>Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu erhalten, gehen Sie am besten wie folgt vor:</p> + <ol> + <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schlüsselspeicher mit Hilfe der Konfigurationselemente <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code>. </li> + <li>Starten Sie nun - mit bewusst fehlenden <code>cfg:KeyGroup</code> Elementen - den MOA SP/SS Server. Stellen Sie dabei sicher, dass das Log-Level für den Logger <code>moa.spss.server</code> zumindest auf das Niveau <code>info</code> eingestellt ist (<span class="comment">Informationen zur Konfiguration des Loggings von MOA SP/SS finden Sie hier</span>). Im Log-File werden dann alle verfügbaren privaten Schlüssel an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:<br> + <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7 +INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key + ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre> + Der Wert der Eigenschaft ID des Logging-Eintrags gliedert sich in drei Teile: + <ol> + <li>Der erste Teil enthält den Identifikator des Hardware- bzw. Softwareschlüsselspeichers, so wie er im entsprechenden Konfigurationselement <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code> erfasst wurde. </li> + <li>Der zweite Teil enthält nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats für den privaten Schlüssel, so wie er in <code>dsig:X509IssuerName</code> benötigt wird. </li> + <li>Der dritte Teil enthält nach dem zweiten Semikolon die Seriennummer des Zertifikats für den privaten Schlüssel, so wie er in <code>dsig:X509SerialNumber</code> benötigt wird. </li> + </ol> + </li> + <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in MOA SS zur Verfügung stehen sollen. </li> + </ol> + <p>Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p> + <pre>certtool -info <certfilename></pre> + <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> + <pre>SubjectDN (RFC2253): + CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT +IssuerDN (RFC2253) : + CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : + 9</pre> + <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> + </tr> + </table> <h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen </h1> <p> </p> </body> |