aboutsummaryrefslogtreecommitdiff
path: root/spss.handbook/handbook/config
diff options
context:
space:
mode:
authorgregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-04-18 12:00:00 +0000
committergregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d>2005-04-18 12:00:00 +0000
commit806500d31fd4f95f03788077fc7ee0c7f2bf128f (patch)
tree24ac31f95e266781abeb626a8f908f7f828a8d70 /spss.handbook/handbook/config
parentf05508306ae8ee745ab0baef9ca7475737993a2e (diff)
downloadmoa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.tar.gz
moa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.tar.bz2
moa-id-spss-806500d31fd4f95f03788077fc7ee0c7f2bf128f.zip
Zwischensicherung. KeyGroup hinzugefĆ¼gt.
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@298 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat (limited to 'spss.handbook/handbook/config')
-rw-r--r--spss.handbook/handbook/config/config.html60
1 files changed, 59 insertions, 1 deletions
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html
index 5201e548b..e7cb39d76 100644
--- a/spss.handbook/handbook/config/config.html
+++ b/spss.handbook/handbook/config/config.html
@@ -316,12 +316,70 @@
<ul>
<li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enth&auml;lt einen frei w&auml;hlbaren Identifikator f&uuml;r dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroup</code> auf dieses Konfigurationselement referenziert.</li>
<li> Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enth&auml;lt den Dateinamen der PKCS#12-Datei, die den Software-Schl&uuml;sselspeicher repr&auml;sentiert. Der Wert enth&auml;lt einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.</li>
- <li>Attribut <code>slotID</code>: Dieses optionale Attribut vom Typ <code>xs:string</code> gibt des Slot der PKCS#11-Schnittstelle an, &uuml;ber den der Hardware-Schl&uuml;sselspeicher von MOA SS angesprochen werden soll. Fehlt dieses Attribut, w&auml;hlt MOA SS selbst einen Slot aus der Liste der verf&uuml;gbaren Slots aus. </li>
<li>Attribut <code>password</code>: Dieses Attribut vom Typ <code>xs:string</code> enth&auml;lt das Passwort zum Entschl&uuml;sseln der Inhalte der PKCS#12-Datei. </li>
</ul>
<p>Das Element hat keinen Element-Inhalt. </p></td>
</tr>
</table>
+ <h2><a name="konfigurationsparameter_keygroup" id="konfigurationsparameter_keygroup"></a>2.6 Schl&uuml;sselgruppen </h2>
+ <table class="fixedWidth" border="1" cellpadding="2">
+ <tr>
+ <td>Name</td>
+ <td><code>cfg:KeyGroup</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>optional</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Mit diesem Element wird in MOA SS eine Schl&uuml;sselgruppe definiert. Eine Schl&uuml;sselgruppe ist eine Zusammenfassung von einem oder mehreren privaten Schl&uuml;sseln, die in Hardware- bzw. Softwareschl&uuml;sselspeichern (vergleiche Abschnitte <a href="#konfigurationsparameter_hardwarekeymodule">2.4</a> bzw. <a href="#konfigurationsparameter_softwarekeymodule">2.5</a>) verwaltet werden. Die Schl&uuml;sselgruppe wird vom Kunden von MOA SS &uuml;ber einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen. </p>
+ <p>Sinn der Zusammenfassung von mehreren privaten Schl&uuml;sseln zu einer Schl&uuml;sselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schl&uuml;ssel aus der Schl&uuml;sselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit m&ouml;gliche Parallelisierung (mehrere private Schl&uuml;ssel werden parallel f&uuml;r Anfragen, die auf die gleiche Schl&uuml;sselgruppe referenzieren) l&auml;sst sich der Durchsatz der erstellten Signaturen verbessern. </p>
+ <p>Das Element <code>cfg:KeyGroup</code> weist ein obligatorisches Attribut auf:</p>
+ <ul>
+ <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enth&auml;lt einen frei w&auml;hlbaren Identifikator f&uuml;r dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroupMapping</code> auf dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung der Signatur verwendet, um die zu verwendende Schl&uuml;sselgruppe anzugeben. </li>
+ </ul>
+ <p>Das Element <code>cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p>
+ <ul>
+ <li>Element <code>cfg:Key</code>: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt einen der privaten Schl&uuml;ssel, aus denen sich die Schl&uuml;sselgruppe zusammensetzt. Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:
+ <ul>
+ <li>Element <code>cfg:KeyModuleID</code>: Dieses Element kommt genau einmal vor. Mit ihm wird auf einen der konfigurierten Hardware- oder Software-Schl&uuml;sselspeicher referenziert. Sein Textinhalt vom Typ <code>xs:token</code> enth&auml;lt den Identifikator des Hardware- oder Software-Schl&uuml;sselspeichers, so wie er in <code>cfg:HardwareKeyModule/@id</code> bzw. <code>cfg:SoftwareKeyModule/@id</code> festgelegt wurde. </li>
+ <li>Element <code>cfg:KeyCertIssuerSerial</code>: Dieses Element kommt ebenfalls genau einmal vor. Mit ihm wird ein privater Schl&uuml;ssel innerhalb des mit <code>cfg:KeyModuleID</code> ausgew&auml;hlten Schl&uuml;sselspeichers ausgew&auml;hlt (sowohl Hardware- als auch Softwareschl&uuml;sselspeicher k&ouml;nnen ja prinzipiell mehr als nur einen einzigen privaten Schl&uuml;ssel verwalten). Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:
+ <ul>
+ <li>Element <code>dsig:X509IssuerName</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:string</code> enth&auml;lt den Namen des Ausstellers des Zertifikats f&uuml;r den ausgew&auml;hlten privaten Schl&uuml;ssel.</li>
+ <li>Element <code>dsig:X509SerialNumber</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:integer</code> enth&auml;lt die Seriennummer des Zertifikats f&uuml;r den ausgew&auml;hlten privaten Schl&uuml;ssel. </li>
+ </ul>
+ </li>
+ </ul>
+ </li>
+ </ul>
+ <p>Um auf einfache Weise f&uuml;r alle in Ihren Schl&uuml;sselspeichern enthaltenen privaten Schl&uuml;ssel die jeweiligen Werte f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu erhalten, gehen Sie am besten wie folgt vor:</p>
+ <ol>
+ <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schl&uuml;sselspeicher mit Hilfe der Konfigurationselemente <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code>. </li>
+ <li>Starten Sie nun - mit bewusst fehlenden <code>cfg:KeyGroup</code> Elementen - den MOA SP/SS Server. Stellen Sie dabei sicher, dass das Log-Level f&uuml;r den Logger <code>moa.spss.server</code> zumindest auf das Niveau <code>info</code> eingestellt ist (<span class="comment">Informationen zur Konfiguration des Loggings von MOA SP/SS finden Sie hier</span>). Im Log-File werden dann alle verf&uuml;gbaren privaten Schl&uuml;ssel an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:<br>
+ <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7
+INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
+ ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre>
+ Der Wert der Eigenschaft ID des Logging-Eintrags gliedert sich in drei Teile:
+ <ol>
+ <li>Der erste Teil enth&auml;lt den Identifikator des Hardware- bzw. Softwareschl&uuml;sselspeichers, so wie er im entsprechenden Konfigurationselement <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code> erfasst wurde. </li>
+ <li>Der zweite Teil enth&auml;lt nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats f&uuml;r den privaten Schl&uuml;ssel, so wie er in <code>dsig:X509IssuerName</code> ben&ouml;tigt wird. </li>
+ <li>Der dritte Teil enth&auml;lt nach dem zweiten Semikolon die Seriennummer des Zertifikats f&uuml;r den privaten Schl&uuml;ssel, so wie er in <code>dsig:X509SerialNumber</code> ben&ouml;tigt wird. </li>
+ </ol>
+ </li>
+ <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schl&uuml;sselgruppen, die in MOA SS zur Verf&uuml;gung stehen sollen. </li>
+ </ol>
+ <p>Wenn Ihnen f&uuml;r einen privaten Schl&uuml;ssel, den Sie in eine Schl&uuml;sselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, k&ouml;nnen Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p>
+ <pre>certtool -info &lt;certfilename&gt;</pre>
+ <p><code>&lt;certfilename&gt;</code> enth&auml;lt den Namen der DER-kodierten Zertifikatsdatei, f&uuml;r die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p>
+ <pre>SubjectDN (RFC2253):
+ CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
+IssuerDN (RFC2253) :
+ CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number :
+ 9</pre>
+ <p>Die Werte f&uuml;r <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td>
+ </tr>
+ </table>
<h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen </h1>
<p>&nbsp; </p>
</body>