diff options
author | gregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2005-08-30 12:58:46 +0000 |
---|---|---|
committer | gregor <gregor@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2005-08-30 12:58:46 +0000 |
commit | 64fc0706135941fce8323421a49e8fa899e0e171 (patch) | |
tree | e87c3cbeaa12eefe98db0492bd00012bd1f2b8d6 /spss.handbook/handbook | |
parent | 466abdb6a2f9a9a10ca29dadec35b6d87a771633 (diff) | |
download | moa-id-spss-64fc0706135941fce8323421a49e8fa899e0e171.tar.gz moa-id-spss-64fc0706135941fce8323421a49e8fa899e0e171.tar.bz2 moa-id-spss-64fc0706135941fce8323421a49e8fa899e0e171.zip |
Bug 271: Handbuch adaptiert.
Version des Handbuchs auf 1.3 gesetzt.
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@473 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat (limited to 'spss.handbook/handbook')
-rw-r--r-- | spss.handbook/handbook/common/MOA.css | 8 | ||||
-rw-r--r-- | spss.handbook/handbook/config/config.html | 1053 | ||||
-rw-r--r-- | spss.handbook/handbook/faq/faq.html | 4 | ||||
-rw-r--r-- | spss.handbook/handbook/install/install.html | 8 | ||||
-rw-r--r-- | spss.handbook/handbook/intro/intro.html | 2 | ||||
-rw-r--r-- | spss.handbook/handbook/usage/usage.html | 2 |
6 files changed, 716 insertions, 361 deletions
diff --git a/spss.handbook/handbook/common/MOA.css b/spss.handbook/handbook/common/MOA.css index a4efc6707..81e0a3f8d 100644 --- a/spss.handbook/handbook/common/MOA.css +++ b/spss.handbook/handbook/common/MOA.css @@ -98,6 +98,14 @@ h5 font-weight: normal
}
+h6
+{
+ color: #000080;
+ font-size: 83%;
+ font-family: Arial, Helvetica, sans-serif;
+ font-weight: normal
+}
+
code
{
font-family: "Courier New", Courier, monospace;
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 5441dca0b..02f07abf1 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -15,7 +15,7 @@ </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.3</a></p> <p class="subtitle">Konfiguration</p> <hr/> <h1>Inhalt</h1> @@ -23,6 +23,11 @@ <li> <p><a href="#übersicht">Übersicht</a></p> <ol> + <li><a href="#übersicht_allgemeines">Allgemeines</a> + <ol> + <li><a href="#übersicht_allgemeines_namenskonventionen">Namenskonventionen</a></li> + </ol> + </li> <li><a href="#übersicht_zentraledatei">Zentrale Konfigurationsdatei</a> <ol> <li><a href="#übersicht_zentraledatei_aktualisierung">Aktualisierung auf das Format von MOA SP/SS 1.3</a></li> @@ -39,31 +44,56 @@ </li> <li><a href="#konfigurationsparameter">Konfigurationsparameter</a> <ol> - <li><a href="#konfigurationsparameter_kanonisierungsalgorithmus">Kanonisierungs-Algorithmus</a></li> - <li><a href="#konfigurationsparameter_digestalgorithmus">Digest-Algorithmus</a></li> - <li><a href="#konfigurationsparameter_genericconfiguration">Generic Configuration</a> <ol> - <li><a href="#konfigurationsparameter_genericconfiguration_zertpfad">Parameter für die Zertifikatspfadbildung</a> <ol> - <li><a href="#konfigurationsparameter_genericconfiguration_zertpfad_autoaddcertificates">Cachen von Zertifikaten</a></li> - <li><a href="#konfigurationsparameter_genericconfiguration_zertpfad_useauthorityinfoaccess">Auswertung der Zertifikatserweiterung <span class="term">Authority Information Access</span></a></li> - <li><a href="#konfigurationsparameter_genericconfiguration_zertpfad_dircertstoreparamsrootdir">Lokalisierung des Zertifikatsspeichers</a></li> + <li><a href="#konfigurationsparameter_allgemein">Allgemeines Parameter</a> <ol> + <li><a href="#konfigurationsparameter_allgemein_hardwarecryptomodule">Hardwarebasiertes Kryptographiemodul</a></li> + </ol> + </li> + <li><a href="#konfigurationsparameter_ss">Parameter für MOA SS</a> <ol> + <li><a href="#konfigurationsparameter_ss_keymodules">Schlüsselspeicher</a> <ol> + <li><a href="#konfigurationsparameter_ss_keymodules_hardwarekeymodule">Hardware-Schlüsselspeicher</a></li> + <li><a href="#konfigurationsparameter_ss_keymodules_softwarekeymodule">Software-Schlüsselspeicher</a></li> </ol> </li> - <li><a href="#konfigurationsparameter_genericconfiguration_widerruf">Parameter für die Widerrufsprüfung</a> <ol> - <li><a href="#konfigurationsparameter_genericconfiguration_widerruf_checkrevocation">Aktivieren der Widerrufsprüfung</a></li> - <li><a href="#konfigurationsparameter_genericconfiguration_widerruf_maxrevocationage">Maximales Alter der Widerrufsinformation</a></li> - <li><a href="#konfigurationsparameter_genericconfiguration_widerruf_archiveRevocationInfo">Archivierung von Widerrufsinformationen</a></li> - </ol> + <li><a href="#konfigurationsparameter_ss_keygroup">Schlüsselgruppe</a></li> + <li><a href="#konfigurationsparameter_ss_keygroupmapping">Zuordnung von Schlüsselgruppen zu einem + Kunden</a></li> + <li><a href="#konfigurationsparameter_ss_xmldsig">Parameter für XML-Signaturen</a> </li> + <li><a href="#konfigurationsparameter_ss_createtransformsinfoprofile">Profil für Transformationen</a></li> + <li><a href="#konfigurationsparameter_ss_createsignatureenvironmentprofile">Profil für Signaturumgebung </a></li> + </ol> + </li> + <li><a href="#konfigurationsparameter_sp">Parameter für MOA SP</a> <ol> + <li><a href="#konfigurationsparameter_sp_certificatevalidation">Zertifikatsvalidierung</a> <ol> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathconstruction">Konstruktion des Zertifikatspfads</a> + <ol> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates">Cachen von Zertifikaten</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess">Auswertung der Zertifikatserweiterung <span class="term">Authority Information Access</span></a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathconstruction_certificatestore">Lokalisierung des Zertifikatsspeichers</a></li> + </ol> + </li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation">Valdierung des Zertifikatspfads</a> + <ol> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_chainingmode">Gültigkeitsmodell für die Zertifikatskettenprüfung</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofile</a></li> + </ol> + </li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking">Widerrufsprüfung</a> + <ol> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_enablechecking">Aktivieren + der Widerrufsprüfung</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_maxrevocationage">Maximales Alter der Widerrufsinformation</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_serviceorder">Reihenfolge der Widerrufsdienste</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving">Archivierung von Widerrufsinformationen</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint">Manuelle + Konfiguration von Verteilungspunkten für Widerrufsinformationen</a></li> + </ol> + </li> + </ol> </li> - </ol> + <li><a href="#konfigurationsparameter_sp_verifytransformsinfoprofile">Profil für Transformationen</a></li> + <li><a href="#konfigurationsparameter_sp_supplementprofile">Profil für Ergänzungsobjekte</a></li> + </ol> </li> - <li><a href="#konfigurationsparameter_hardwarekeymodule">Hardware-Schlüsselspeicher</a></li> - <li><a href="#konfigurationsparameter_softwarekeymodule">Software-Schlüsselspeicher</a></li> - <li><a href="#konfigurationsparameter_keygroup">Schlüsselgruppen</a></li> - <li><a href="#konfigurationsparameter_keygroupmapping">Zuordnung von Schlüsselgruppen zu Kunden</a></li> - <li><a href="#konfigurationsparameter_crlarchive">Archivierungsdauer für Widerrufsinformationen</a></li> - <li><a href="#konfigurationsparameter_crldp">Manuelle Konfiguration von Verteilungspunkten für Widerrufslisten</a></li> - <li><a href="#konfigurationsparameter_profiles">Vordefinierte Profile</a></li> - <li><a href="#konfigurationsparameter_trustprofile">Vertrauensprofile</a></li> </ol> </li> <li><a href="#beispielkonfigurationen">Beispielkonfigurationen</a> @@ -77,9 +107,35 @@ <hr/> <h1><a name="übersicht" id="übersicht"></a>1 Übersicht </h1> <p>Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für MOA SP/SS. Wenn nicht anders angegeben, beziehen sich die Erläuterungen sowohl auf die Konfiguration des Webservices als auch auf die Konfiguration von MOA SP/SS für den Einsatz als Klassenbibliothek.</p> - <h2><a name="übersicht_zentraledatei" id="übersicht_zentraledatei"></a>1.1 Zentrale Konfigurationsdatei</h2> + <h2><a name="übersicht_allgemeines" id="übersicht_allgemeines"></a>1.1 Allgemeines</h2> + <h3><a name="übersicht_allgemeines_namenskonventionen" id="übersicht_allgemeines_namenskonventionen"></a>1.1.1 Namenskonventionen </h3> + <p>Folgende Namenraum-Präfixe werden in diesem Handbuch zur Kennzeichnung der Namenräume + von XML-Elementen verwendet: </p> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <th scope="col">Präfix</th> + <th scope="col">Namenraum</th> + </tr> + <tr> + <td><code>cfg</code></td> + <td><code>http://reference.e-government.gv.at/namespace/moaconfig/20021122#</code></td> + </tr> + <tr> + <td><code>dsig</code></td> + <td><code>http://www.w3.org/2000/09/xmldsig#</code></td> + </tr> + <tr> + <td>moa</td> + <td><code>http://reference.e-government.gv.at/namespace/moa/20020822#</code></td> + </tr> + <tr> + <td><code>xs</code></td> + <td><code>http://www.w3.org/2001/XMLSchema</code></td> + </tr> + </table> + <h2><a name="übersicht_zentraledatei" id="übersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2> <p>Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-1.3.xsd">MOA-SPSS-config-1.3.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erläutert die Konfigurationsmöglichkeiten im Einzelnen.</p> - <h3><a name="übersicht_zentraledatei_aktualisierung" id="übersicht_zentraledatei_aktualisierung"></a>1.1.1 + <h3><a name="übersicht_zentraledatei_aktualisierung" id="übersicht_zentraledatei_aktualisierung"></a>1.2.1 Aktualisierung auf das Format von MOA SP/SS 1.3</h3> <p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die XML-Konfigurationsdatei. </p> @@ -93,15 +149,16 @@ an, der zweite Parameter Pfad und Dateiname für die zu erzeugende Konfigurationsdatei im neuen Format (<span class="remark">Hinweis: Die Beispielpfade beziehen sich auf Windows-Betriebssysteme; für Unix-Betriebssysteme wählen Sie bitte sinngemäße Pfade.</span>). </p> - <h2><a name="übersicht_bekanntmachung" id="übersicht_bekanntmachung"></a>1.2 Bekanntmachung der Konfigurationsdatei</h2> + <h2><a name="übersicht_bekanntmachung" id="übersicht_bekanntmachung"></a>1.3 Bekanntmachung der Konfigurationsdatei</h2> <p>Die zentrale Konfigurationsdatei von MOA SP/SS wird der <span class="term">Java Virtual Machine</span>, in der MOA SP/SS läuft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D<name>=<wert></code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.spss.server.configuration</code>; als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p> <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml </pre> <p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA SP/SS erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p> -<h3><a name="übersicht_bekanntmachung_laufenderbetrieb" id="übersicht_bekanntmachung_laufenderbetrieb"></a>1.2.1 Aktualisierung der Konfiguration im laufenden Betrieb</h3> +<h3><a name="übersicht_bekanntmachung_laufenderbetrieb" id="übersicht_bekanntmachung_laufenderbetrieb"></a>1.3.1 + Aktualisierung der Konfiguration im laufenden Betrieb</h3> <p>Wird MOA SP/SS als Webservice eingesetzt, kann durch Aufrufen einer speziellen URL des Webservice ein erneutes Einlesen der Konfigurationsdatei erzwungen werden. Damit ist es möglich, Änderungen an der Konfigurationsdatei vorzunehmen, und diese Änderungen ohne Neustart des zu Grunde liegenden Servlet Containers in den Betrieb zu übernehmen.</p> <p>Weitere Informationen zum erneuten Einlesen der Konfigurationsdatei im Webservice-Betrieb erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_changeonthefly">Abschnitt 2.1.2.5</a> des Installationshandbuchs.</p> -<h2><a name="übersicht_logging" id="übersicht_logging"></a>1.3 Konfiguration des Loggings</h2> +<h2><a name="übersicht_logging" id="übersicht_logging"></a>1.4 Konfiguration des Loggings</h2> <p>MOA SP/SS verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch MOA SP/SS, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.</p> <p> <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/log4j.properties</pre> @@ -110,553 +167,843 @@ <h1><a name="konfigurationsparameter"></a>2 Konfigurationsparameter</h1> <p>Nachfolgend werden die verfügbaren Konfigurationsparameter der zentralen Konfigurationsdatei im Detail erläutert. Die Reihenfolge der Abhandlung entspricht der Reihenfolge des vorgeschriebenen Auftretens in der Konfigurationsdatei. Für beispielhafte Konfigurationsdateien siehe <a href="#beispielkonfigurationen">Abschnitt 3</a>. </p> <p>Muss der Wert eines Konfigurationsparameters eine URL oder eine Pfadangabe sein, und wird als konkreter Wert eine relative URL bzw. ein relativer Pfad angegeben, so wird diese Angabe relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.</p> - <p>Präfixe für Namenräume von XML-Elementen werden wie folgt verwendet:</p> + <h2><a name="konfigurationsparameter_allgemein" id="konfigurationsparameter_allgemein"></a>2.1 + Allgemeine Parameter</h2> + <h3><a name="konfigurationsparameter_allgemein_hardwarecryptomodule" id="konfigurationsparameter_allgemein_hardwarecryptomodule"></a>2.1.1 Hardwarebasiertes Kryptographiemodul</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <th scope="col">Präfix</th> - <th scope="col">Namenraum</th> + <td>Name</td> + <td><code>cfg:Common/cfg:HardwareCryptoModule</code></td> </tr> <tr> - <td><code>cfg</code></td> - <td><code>http://reference.e-government.gv.at/namespace/moaconfig/20021122#</code></td> + <td> Gebrauch</td> + <td>Null mal bis unbeschränkt oft </td> </tr> <tr> - <td><code>dsig</code></td> - <td><code>http://www.w3.org/2000/09/xmldsig#</code></td> + <td>Erläuterung</td> + <td><p> Mit diesem Element wird MOA SP bzw. SS die Verfügbarkeit eines Hardware-Kryptographiemoduls + mitgeteilt. Wird ein solches Hardware-Kryptographiemodul konfiguriert, versucht MOA SP/SS das + Hardware-Kryptographiemodul für die Verifikation des Signaturwerts (MOA SP) bzw. für die Berechnung + von Hashwerten (MOA SP und MOA SS) anstatt des standardmäßig konfigurierten Software-Kryptographiemoduls + zu verwenden. </p> + <p>Werden mehrere Hardware-Kryptographiemodule konfiguriert, prüft MOA SP/SS entsprechend + der Konfigurationsreihenfolge der Hardware-Kryptographiemodule, ob eines der Module die benötigte + Funktion (Hashwertberechnung, Siganturprüfung) zur Verfügung stellt. Verwendet wird das erste Hardware-Kryptographiemodul, + das ide benötigte Funktion zur Verfügung stellen kann. </p> + <p>Das Element weist bis zu drei Kindelemente auf:</p> + <ul> + <li>Element <code>cfg:Name</code>: Dieses obligatorische Element vom Typ <code>xs:string</code> enthält + den Dateinamen der DLL (Windows) oder der Shared-Library (Unix), welche die PKCS#11-Schnittstelle + zum Hardware-Kryptographiemodul implementiert; der Wert enthält entweder einen Dateinamen + mit absoluter Pfadangabe oder einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname + relativ zum Suchpfad des Betriebssystems interpretiert. </li> + <li>Element <code>cfg:SlotId</code>: Dieses optionale Element vom Typ <code>xs:string</code> gibt + des Slot der PKCS#11-Schnittstelle an, über den das Hardware-Kryptographiemodul von MOA + SP/SS angesprochen werden soll. Fehlt dieses Attribut, wählt MOA SP/SS selbst einen Slot + aus der Liste der verfügbaren Slots aus. </li> + <li>Element <code>cfg:UserPIN</code>: Dieses obligatorische Element vom Typ <code>xs:string</code> enthält + den PIN-Code zur Freischaltung der Kryptographiefunktionen über die PKCS#11-Schnittstelle + des Hardware-Kryptographiemoduls. </li> + </ul></td> </tr> + </table> + <h2><a name="konfigurationsparameter_ss" id="konfigurationsparameter_ss"></a>2.2 Parameter für MOA SS</h2> + <h3><a name="konfigurationsparameter_ss_keymodules" id="konfigurationsparameter_ss_keymodules"></a>2.2.1 Schlüsselspeicher</h3> + <h4><a name="konfigurationsparameter_ss_keymodules_hardwarekeymodule" id="konfigurationsparameter_ss_keymodules_hardwarekeymodule"></a>2.2.1.1 Hardware-Schlüsselspeicher</h4> + <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td>moa</td> - <td><code>http://reference.e-government.gv.at/namespace/moa/20020822#</code></td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:KeyModules/cfg:HardwareKeyModule</code></td> </tr> <tr> - <td><code>xs</code></td> - <td><code>http://www.w3.org/2001/XMLSchema</code></td> + <td>Gebrauch</td> + <td>Null mal bis unbeschränkt oft; zumindest ein Hardware- (<code>cfg:HardwareKeyModule</code>) oder + Software-Schlüsselspeicher (<code>cfg:SoftwareKeyModule</code>) muss + jedoch vorhanden sein</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>Mit diesem Element wird MOA SS die Verfügbarkeit eines Hardware-Schlüsselspeichers mitgeteilt. </p> + <p>Das Element weist bis zu vier Kindelemente auf:</p> + <ul> + <li>Element <code>cfg:Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enthält + einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der + XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:SignatureCreation/cfg:KeyGroup</code> auf + dieses Konfigurationselement referenziert.</li> + <li> Element <code>cfg:Name</code>: Dieses obligatorische Element vom Typ <code>xs:string</code> enthält + den Dateinamen der DLL (Windows) oder der Shared-Library (Unix), welche die PKCS#11-Schnittstelle + zum Hardware-Schlüsselspeicher implementiert; der Wert enthält entweder einen Dateinamen + mit absoluter Pfadangabe oder einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname + relativ zum Suchpfad des Betriebssystems interpretiert. </li> + <li>Element <code>cfg:SlotId</code>: Dieses optionale Element vom Typ <code>xs:string</code> gibt des + Slot der PKCS#11-Schnittstelle an, über den der Hardware-Schlüsselspeicher von MOA SS + angesprochen werden soll. Fehlt dieses Attribut, wählt MOA SS selbst einen Slot aus der Liste + der verfügbaren Slots aus. </li> + <li>Element <code>cfg:UserPIN</code>: Dieses obligatorische Element vom Typ <code>xs:string</code> enthält + den PIN-Code zur Freischaltung der Schlüsselverwendung über die PKCS#11-Schnittstelle + des Hardware-Schlüsselspeichers. </li> + </ul> </td> </tr> </table> - <h2><a name="konfigurationsparameter_kanonisierungsalgorithmus" id="konfigurationsparameter_kanonisierungsalgorithmus"></a>2.1 Kanonisierungs-Algorithmus</h2> + <h4><a name="konfigurationsparameter_ss_keymodules_softwarekeymodule" id="konfigurationsparameter_ss_keymodules_softwarekeymodule"></a>2.2.1.2 + Software-Schlüsselspeicher</h4> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:CanonicalizationAlgorithm</code></td> + <td><code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule</code></td> </tr> <tr> - <td>Relevanz</td> - <td>MOA SS </td> - </tr> - <tr> - <td> Gebrauch</td> - <td>optional</td> + <td>Gebrauch</td> + <td>Null mal bis unbeschränkt oft; zumindest ein Hardware- (<code>cfg:HardwareKeyModule</code>) oder + Software-Schlüsselspeicher (<code>cfg:SoftwareKeyModule</code>) muss jedoch vorhanden sein</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Als Inhalt des Elements kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> - <p> - <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 <br>http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments <br>http://www.w3.org/2001/10/xml-exc-c14n# <br>http://www.w3.org/2001/10/xml-exc-c14n#WithComments </pre> - <p></p> <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> - <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 </pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> + <td><p>Mit diesem Element wird MOA SS die Verfügbarkeit eines Software-Schlüsselspeichers in + Form einer PKCS#12-Datei mitgeteilt. </p> + <p>Das Element weist drei obligatorische Kindelemente auf:</p> + <ul> + <li>Element <code>cfg:Id</code>: Dieses Element vom Typ <code>xs:token</code> enthält einen + frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei + eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:SignatureCreation/cfg:KeyGroup</code> auf + dieses Konfigurationselement referenziert.</li> + <li> Element <code>cfg:Filename</code>: Dieses Element vom Typ <code>xs:string</code> enthält + den Dateinamen der PKCS#12-Datei, die den Software-Schlüsselspeicher repräsentiert. Der + Wert enthält einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe + wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei + gespeichert ist.</li> + <li>Element <code>cfg:Password</code>: Dieses Element vom Typ <code>xs:string</code> enthält + das Passwort zum Entschlüsseln der Inhalte der PKCS#12-Datei. </li> + </ul> </td> </tr> </table> - <h2><a name="konfigurationsparameter_digestalgorithmus" id="konfigurationsparameter_digestalgorithmus"></a>2.2 Digest-Algorithmus</h2> + <h3><a name="konfigurationsparameter_ss_keygroup" id="konfigurationsparameter_ss_keygroup"></a>2.2.2 Schlüsselgruppe</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:DigestAlgorithm</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SS </td> + <td><code>cfg:SignatureCreation/cfg:KeyGroup</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>einmal bis unbeschränkt oft </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Als Inhalt des Elements kann der Digest-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:Reference/dsig:DigestMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> - <p> - <pre>http://www.w3.org/2000/09/xmldsig#sha1 -</pre> - <p></p> - <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> - <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> + <td><p>Mit diesem Element wird in MOA SS eine Schlüsselgruppe definiert. Eine Schlüsselgruppe + ist eine Zusammenfassung von einem oder mehreren privaten Schlüsseln, die in Hardware- bzw. Softwareschlüsselspeichern + (vergleiche Abschnitte <a href="#konfigurationsparameter_ss_keymodules_hardwarekeymodule">2.2.1.1</a> bzw. <a href="#konfigurationsparameter_ss_keymodules_softwarekeymodule">2.2.1.2</a>) + verwaltet werden. Die Schlüsselgruppe wird vom Kunden von MOA SS über einen eindeutigen Bezeichner + im Request zur Signaturerstellung angesprochen. </p> + <p>Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist + es, dass MOA SS selbst entscheidet, welcher konkrete Schlüssel aus der Schlüsselgruppe + zur Erstellung der Signatur verwendet wird. Durch die somit mögliche Parallelisierung (mehrere + private Schlüssel werden parallel für Anfragen, die auf die gleiche Schlüsselgruppe + referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern. </p> + <p>Das Element <code>cfg:SignatureCreation/cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p> + <ul> + <li>Element <code>cfg:Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enthält + einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der + XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:SignatureCreation/cfg:KeyGroupMapping</code> auf + dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung + der Signatur verwendet, um die zu verwendende Schlüsselgruppe anzugeben.</li> + <li>Element <code>cfg:Key</code>: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt + einen der privaten Schlüssel, aus denen sich die Schlüsselgruppe zusammensetzt. Das Element + hat folgenden Element-Inhalt: + <ul> + <li>Element <code>cfg:KeyModuleId</code>: Dieses Element kommt genau einmal vor. Mit ihm wird + auf einen der konfigurierten Hardware- oder Software-Schlüsselspeicher referenziert. + Sein Textinhalt vom Typ <code>xs:token</code> enthält den Identifikator des Hardware- + oder Software-Schlüsselspeichers, so wie er in <code>cfg:SignatureCreation/cfg:KeyModules/cfg:HardwareKeyModule/cfg:Id</code> bzw. <code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule/cfg:Id</code> festgelegt + wurde. </li> + <li>Element <code>cfg:KeyCertIssuerSerial</code>: Dieses Element kommt ebenfalls genau einmal + vor. Mit ihm wird ein privater Schlüssel innerhalb des mit <code>cfg:KeyModuleId</code> ausgewählten + Schlüsselspeichers ausgewählt (sowohl Hardware- als auch Softwareschlüsselspeicher + können ja prinzipiell mehr als nur einen einzigen privaten Schlüssel verwalten). + Das Element hat folgenden Element-Inhalt: + <ul> + <li>Element <code>dsig:X509IssuerName</code>: Dieses Element kommt genau einmal vor. + Sein Textinhalt vom Typ <code>xs:string</code> enthält den Namen des Ausstellers + des Zertifikats für den ausgewählten privaten Schlüssel.</li> + <li>Element <code>dsig:X509SerialNumber</code>: Dieses Element kommt genau einmal vor. + Sein Textinhalt vom Typ <code>xs:integer</code> enthält die Seriennummer des Zertifikats + für den ausgewählten privaten Schlüssel. </li> + </ul> + </li> + </ul> + </li> + </ul> + <p>Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel + die jeweiligen Werte für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu + erhalten, gehen Sie am besten wie folgt vor:</p> + <ol> + <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schlüsselspeicher mit Hilfe + der Konfigurationselemente <code>cfg:SignatureCreation/cfg:KeyModules/cfg:HardwareKeyModule</code> bzw. <code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule</code>. </li> + <li>Starten Sie nun - mit bewusst fehlenden <code>cfg:SignatureCreation/cfg:KeyGroup</code> Elementen - den MOA SP/SS Server. + Stellen Sie dabei sicher, dass das Log-Level für den Logger <code>moa.spss.server</code> zumindest + auf das Niveau <code>info</code> eingestellt ist (Informationen zur Konfiguration des Loggings + von MOA SP/SS finden Sie in <a href="../install/install.html#webservice_basisinstallation_logging">Abschnitt + 2.1.3</a> des Installationshandbuchs). Im Log-File werden dann alle verfügbaren privaten Schlüssel + an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. + Vergleichen Sie den folgenden beispielhaften Auszug:<br> + <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7 +INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key + ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre> + Der Wert der Eigenschaft <code>ID</code> des Logging-Eintrags gliedert sich in drei Teile: + <ol> + <li>Der erste Teil enthält den Identifikator des Hardware- bzw. Softwareschlüsselspeichers, + so wie er im entsprechenden Konfigurationselement <code>cfg:SignatureCreation/cfg:KeyModules/cfg:HardwareKeyModule</code> bzw. <code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule</code> erfasst + wurde. </li> + <li>Der zweite Teil enthält nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats + für den privaten Schlüssel, so wie er in <code>dsig:X509IssuerName</code> benötigt + wird. </li> + <li>Der dritte Teil enthält nach dem zweiten Semikolon die Seriennummer des Zertifikats für + den privaten Schlüssel, so wie er in <code>dsig:X509SerialNumber</code> benötigt wird. </li> + </ol> + </li> + <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in + MOA SS zur Verfügung stehen sollen. </li> + </ol> + <p>Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen + wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können + Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis <code>tools</code> im MOA-Installationsverzeichnis + verwenden, um zu den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu + kommen: </p> + <pre>certtool -info <certfilename></pre> <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für + die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert + werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> + <pre>SubjectDN (RFC2253): + CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT +IssuerDN (RFC2253) : + CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : + 9</pre> <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen + den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> </tr> </table> - <h2><a name="konfigurationsparameter_genericconfiguration" id="konfigurationsparameter_genericconfiguration"></a>2.3 Generic Configuration </h2> - <p> Das Element <code>cfg:GenericConfiguration</code> ermöglicht die Bekanntgabe eines Name/Wert-Paares mittels seiner Attribute <code>name</code> und <code>value</code>. Das Element kann beliebig oft verwendet werden. Nachfolgend findet sich eine Erläuterung jener Namen (Attribut <code>name</code>), die MOA zu interpretieren weiß.</p> - <h3><a name="konfigurationsparameter_genericconfiguration_zertpfad" id="konfigurationsparameter_genericconfiguration_zertpfad"></a>2.3.1 Parameter für die Zertifikatspfadbildung</h3> - <h4><a name="konfigurationsparameter_genericconfiguration_zertpfad_autoaddcertificates" id="konfigurationsparameter_genericconfiguration_zertpfad_autoaddcertificates"></a>2.3.1.1 Cachen von Zertifikaten</h4> + <h3><a name="konfigurationsparameter_ss_keygroupmapping" id="konfigurationsparameter_ss_keygroupmapping"></a>2.2.3 + Zuordnung von Schlüsselgruppen zu Kunden</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code>autoAddCertificates</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:KeyGroupMapping</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>einmal bis unbeschränkt oft </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt an, ob Zertifikate, die in einer zu prüfenden Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung <span class="term">Authority Information Access</span> (siehe auch Parameter <code>useAuthorityInfoAccess</code>) aus dem Internet geladen werden, automatisch in den lokalen Zertifikatsspeicher hinzugefügt werden sollen (siehe auch Parameter <code>DirectoryCertStoreParameters.RootDir</code>).</p> - <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> - <p>Der Default-Wert lautet <code>true</code>. </p> - </td> + <td><p> Das Element <code>cfg:SignatureCreation/cfg:KeyGroupMapping</code> ordnet einem Kunden von MOA SS die ihm zur Verfügung + stehenden Schlüsselgruppen zu, indem das den Kunden repräsentierende SSL-Clientzertifikat + mit einer oder mehreren Schlüsselgruppen assoziiert wird. </p> + <p>Das Element hat folgenden Element-Inhalt:</p> + <ul> + <li>Element <code>cfg:CustomerId</code>: Dieses Element bezeichnet auf eindeutige + Weise das den Kunden repräsentierende SSL-Clientzertifikat. Der Aufbau des Elements enspricht + dem Aufbau des Elements <code>cfg:KeyCertIssuerSerial</code> in Abschnitt <a href="#konfigurationsparameter_ss_keygroup">2.2.2</a>. + Um zu den Werten für Ausstellername und Seriennummer des SSL-Clientzertifikats zu kommen, + können Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_ss_keygroup">2.2.2</a>) + verwenden. </li> + <li>Element <code>cfg:KeyGroupId</code>: Dieses Element vom Typ <code>xs:token</code> kommt so oft + vor, wie Schlüsselgruppen + einem bestimmten SSL-Clientzertifikat zugeordnet werden sollen, mindestens jedoch einmal. Sein + Wert repräsentiert dem Identifikator der Schlüsselgruppe, so wie er in <code>cfg:SignatureCreation/cfg:KeyGroup/cfg:Id</code> festgelegt + wurde. </li> + </ul> + <p class="remark">Bitte beachten Sie: Für maximal ein Konfigurationselement <code>cfg:SignatureCreation/cfg:KeyGroupMapping</code> kann <code>cfg:CustomerId</code> auch + weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Kunden von MOA + SS gleichermaßen zur Verfügung.</p></td> </tr> </table> - <h4><a name="konfigurationsparameter_genericconfiguration_zertpfad_useauthorityinfoaccess" id="konfigurationsparameter_genericconfiguration_zertpfad_useauthorityinfoaccess"></a>2.3.1.2 Auswertung der Zertifikatserweiterung <span class="term">Authority Information Access</span></h4> + <h3><a name="konfigurationsparameter_ss_xmldsig" id="konfigurationsparameter_ss_xmldsig"></a>2.2.4 Parameter + für XML-Signaturen </h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code>useAuthorityInfoAccess</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:XMLDSig/cfg:CanonicalizationAlgorithm</code></td> </tr> <tr> - <td>Gebrauch</td> - <td>optional</td> + <td> Gebrauch</td> + <td>Null mal oder einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt an, ob die Zertifikatserweiterung <span class="term">Authority Information Access</span> für die Zertifikatspfaderstellung verwendet werden soll. Wird der Wert auf <code>true</code> gesetzt, dann setzt MOA auch den Parameter <code>autoAddCertificate</code> automatisch auf <code>true</code> und ignoriert den gegebenenfalls in der Konfigurationsdatei dafür gesetzten Wert. </p> - <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> - <p>Der Default-Wert lautet <code>true</code>. </p></td> + <td><p> Als Inhalt des Elements kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> + <p> + <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 <br>http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments <br>http://www.w3.org/2001/10/xml-exc-c14n# <br>http://www.w3.org/2001/10/xml-exc-c14n#WithComments </pre> + <p></p> <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> + <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 </pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> </tr> </table> - <h4><a name="konfigurationsparameter_genericconfiguration_zertpfad_dircertstoreparamsrootdir" id="konfigurationsparameter_genericconfiguration_zertpfad_dircertstoreparamsrootdir"></a>2.3.1.3 Lokalisierung des Zertifikatsspeichers</h4> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> DirectoryCertStoreParameters.RootDir</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:XMLDSig/cfg:DigestMethodAlgorithm</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>Null mal oder einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt ein Verzeichnis im lokalen Dateisystem an, das von MOA als lokaler Zertifikatsspeicher verwendet werden soll. - -</p> - <p>Zulässige Werte für diesen Parameter sind absolute oder relative Pfadangaben, z.B.:</p> + <td><p> Als Inhalt des Elements kann der Digest-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:Reference/dsig:DigestMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> <p> - <pre>C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/certstore</pre> - <pre>certstore</pre><p>Der Default-Wert lautet:</p> - <pre>certstore</pre></td> + <pre>http://www.w3.org/2000/09/xmldsig#sha1 +</pre> + <p></p> + <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> + <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> </tr> </table> - <h3><a name="konfigurationsparameter_genericconfiguration_widerruf" id="konfigurationsparameter_genericconfiguration_widerruf"></a>2.3.2 Parameter für die Widerrufsprüfung</h3> - <h4><a name="konfigurationsparameter_genericconfiguration_widerruf_checkrevocation" id="konfigurationsparameter_genericconfiguration_widerruf_checkrevocation"></a>2.3.2.1 Aktivieren der Widerrufsprüfung</h4> + <h3><a name="konfigurationsparameter_ss_createtransformsinfoprofile" id="konfigurationsparameter_ss_createtransformsinfoprofile"></a>2.2.5 Profil für Transformationen</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> checkRevocation</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:CreateTransformsInfoProfile</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>Null mal bis unbeschränkt oft</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt an, ob bei der Zertifikatsüberprüfung im Zuge einer Signaturprüfung auch der Zertifikatsstatus jedes einzelnen Zertifikats des gebildeten Zertifikatspfads überprüft werden soll. </p> - <p class="remark">Bitte beachten Sie: Die Widerrufsprüfung ist ein sehr wichtiger Schritt der Zertifikatsüberprüfung und somit der Signaturprüfung. Eine Deaktivierung sollte nur in begründeten Ausnahmefällen in Erwägung gezogen werden, z.B. für Testsituationen. </p> <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> - <p>Der Default-Wert lautet <code>true</code>. </p></td> + <td><p>MOA SS erlaubt die Hinterlegung von vordefinierten Profilen für Transformationen, die im Rahmen + einer XML-Signaturerstellung zur Anwendung kommen sollen. Im Request zur XML-Signaturerstellung + reicht es dann aus, auf dieses Profil zu referenzieren, anstatt die gesamten Transformationen explizit + anzugeben. </p> + <p><code>cfg:CreateTransformsInfoProfile</code> enthält für ein bestimmtes Datenobjekt + für eine zu erstellende XML-Signatur die auf dieses Datenobjekt anzuwendenden Transformationen, + sowie allenfalls für die Durchführung der Transformationen notwendige Ergänzungsobjekte + (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</p> + <p><code>cfg:CreateTransformsInfoProfile</code> weist folgende obligatorische Kindelemene auf: </p> + <ul> + <li>Element<code> Id</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> enthält einen frei + wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei + eindeutig sein muss. Dieser Identifikator wird im Request zur Erstellung der XML-Signatur verwendet, + um das hinterlegte Profil zu referenzieren (vergleiche Element <code>moa:CreateTransformsInfoProfileID</code>). </li> + <li>Element<code></code> <code>Location</code>: Dieses Element<code></code> vom Typ <code>xs:anyURI</code> enthält + den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält eine relative + oder absolute URI. Eine relative URI + wird von MOA SS als File-URI relativ zum Lage jenes Verzeichnisses interpretiert, in dem die zentrale + Konfigurationsdatei gespeichert ist. Die XML-Datei muss als Wurzelelement das Element<code> moa:CreateTransformsInfoProfile + </code>enthalten.</li> + </ul> </td> </tr> </table> - <h4><a name="konfigurationsparameter_genericconfiguration_widerruf_maxrevocationage" id="konfigurationsparameter_genericconfiguration_widerruf_maxrevocationage"></a>2.3.2.2 Maximales Alter der Widerrufsinformation </h4> + <h3><a name="konfigurationsparameter_ss_createsignatureenvironmentprofile" id="konfigurationsparameter_ss_createsignatureenvironmentprofile"></a>2.2.6 Profil für Signaturumgebung </h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> maxRevocationAge</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SSP</td> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:CreateSignatureEnvironmentProfile</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>Null mal bis unbeschränkt oft</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt an, wie aktuell eine ggf. lokal gespeicherte Widerrufsinformation sein muss, damit sie von MOA SP als gültig angesehen wird. Ist die lokal gespeicherte Widerrufsinformation nicht aktuell genug, wird sie von MOA SP erneut aus dem Internet geladen.</p> - <p>Dieser Parameter wird nur ausgewertet, wenn die Widerrufsprüfung aktiviert ist (siehe Parameter <code>checkRevocation</code>). </p> - <p>Zulässige Werte für diesen Parameter sind ganze Zahlen: </p> - <ul> - <li>Ein beliebiger negativer Wert bedeutet, dass eine Widerrufsinformation jedes Mal, wenn sie benötigt wird, neu aus dem Internet geladen wird. </li> - <li>Der Wert <code>0</code> bedeutet, dass eine Widerrufsinformation dann neu geladen wird, wenn das Datum im Feld <code>nextUpdate</code> der entsprechenden Widerrufsliste bereits überschritten ist.</li> - <li>Ein positiver Wert gibt gibt die Zeitspanne in Millisekunden an, nach der eine ggf. vorhandene lokale Widerrufsinformation spätestens durch erneutes Laden aus dem Internet aktualisiert wird.</li> - </ul> <p>Der Default-Wert lautet <code>0</code>. </p></td> + <td><p>MOA SS erlaubt die Hinterlegung von vordefinierten Profilen für die Signaturumgebung, + die im Rahmen einer XML-Signaturerstellung zur Anwendung kommen soll. Im Request zur XML-Signaturerstellung + reicht es dann aus, auf dieses Profil zu referenzieren, anstatt die Informationen zur Signaturumgebung + explizit anzugeben. </p> + <p><code>cfg:CreateSignatureEnvironmentProfile</code> enthält für eine zu erstellende XML-Signatur, + die in ein bereits bestehendes XML-Dokument integriert werden soll, die Stelle, an der die XML-Signatur + eingefügt werden soll, sowie allenfalls für die Verarbeitung des bestehenden XML-Dokuments + notwendige Ergänzungsobjekte (z.B. ein XML-Schema für das validierende Parsen des bestehenden + XML-Dokuments).</p> + <p><code>cfg:</code><code>CreateSignatureEnvironmentProfile</code> weist folgende obligatorische Kindelemene + auf: </p> + <ul> + <li>Element<code> Id</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> enthält + einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der + XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Erstellung + der XML-Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche Element <code>moa:</code><code>CreateSignatureEnvironmentProfileID</code>). </li> + <li>Element<code></code> <code>Location</code>: Dieses Element<code></code> vom Typ <code>xs:anyURI</code> enthält + den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält eine relative + oder absolute URI. Eine relative URI wird von MOA SS als File-URI relativ zum Lage jenes Verzeichnisses + interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als + Wurzelelement das Element<code> moa:CreateSignatureEnvironmentProfile </code>enthalten.</li> + </ul></td> </tr> </table> - <h4><a name="konfigurationsparameter_genericconfiguration_widerruf_archiveRevocationInfo" id="konfigurationsparameter_genericconfiguration_widerruf_archiveRevocationInfo"></a>2.3.2.3 Archivierung von Widerrufsinformationen</h4> + <h2><a name="konfigurationsparameter_sp" id="konfigurationsparameter_sp"></a>2.3 + Parameter für MOA SP </h2> + <h3> <a name="konfigurationsparameter_sp_certificatevalidation" id="konfigurationsparameter_sp_certificatevalidation"></a>2.3.1 + Zertifikatsvalidierung</h3> + <h4><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction"></a>2.3.1.1 + Konstruktion des Zertifikatspfads</h4> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates"></a>2.3.1.1.1 Cachen von Zertifikaten </h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> archiveRevocationInfo</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td> Name </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:AutoAddCertificates</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>genau einmal</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt an, ob mittlerweile ungültig gewordene (i.e. historische) Widerrufsinformationen von MOA SP archiviert werden soll. Dieser Parameter wird nur dann ausgewertet, wenn gleichzeitig auch der Parameter - - - <code>DataBaseArchiveParameter.JDBCUrl</code> (siehe unten) angegeben wird. </p> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob Zertifikate, die in einer + zu prüfenden + Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung <span class="term">Authority + Information Access</span> (siehe + auch Parameter <code>cfg:UseAuthorityInfoAccess</code>) aus dem Internet geladen werden, automatisch + in den lokalen Zertifikatsspeicher (siehe Abschnitt <span class="comment">x.y.z</span>) hinzugefügt werden sollen.</p> <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> - <p>Der Default-Wert lautet <code>false</code>. </p></td> + </td> </tr> </table> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess"></a>2.3.1.1.2 Auswertung + der Zertifikatserweiterung <span class="term">Authority Information Access</span> + </h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> DataBaseArchiveParameter.JDBCUrl</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td> Name </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:UseAuthorityInfoAccess</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>genau einmal</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Gibt eine JDBC-URL zu jener Datenbank an, in der MOA historische Widerrufsinformationen archivieren soll. Wird dieser Paramter gesetzt, muss gleichzeitig auch der Parameter <code>archiveRevocationInfo</code> (siehe oben) auf den Wert <code>true</code> gesetzt werden.</p> - <p> Der genaue Aufbau der JDBC-URL ist abhängig von der verwendeten Datenbank. Im Fall von PostgreSQL kann folgende URL verwendet werden:</p> - <pre>jdbc:postgresql://<host>/<moadb>?user=<moauser>&amp;password=<moapassword></pre> <p> Die Platzhalter <code><host></code>, <code><moadb></code>, <code><moauser></code> und <code><moapassword></code> müssen dabei an die tatsächlich verwendete Datenbank angepasst werden.</p> - <p class="remark"> Bitte beachten Sie: Die Kodierung des Zeichens "&" als "&amp;" ist erforderlich, da es andernfalls zu einem Validierungsfehler beim Parsen der XML-Konfigurationsdatei durch MOA kommen würde.</p> - <p class="remark"> Bitte beachten Sie: MOA SP legt eigenständig eine passende Tabelle in der angegebenen Datenbank an und befüllt diese dann in weiterer Folge. Der in der JDBC-URL angegebene Benutzer muss mit den dazu passenden Rechten ausgestattet sein. </p> <p>Für diesen Parameter existiert kein Default-Wert. </p></td> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob die Zertifikatserweiterung <span class="term">Authority + Information Access</span> für die Zertifikatspfaderstellung verwendet werden soll. Wird der + Wert auf <code>true</code> gesetzt, dann setzt MOA auch den Parameter <code>cfg:AutoAddCertificate</code> automatisch + auf <code>true</code> und ignoriert den gegebenenfalls in der Konfigurationsdatei dafür gesetzten + Wert. </p> + <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p></td> </tr> </table> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_certificatestore" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_certificatestore"></a>2.3.1.1.3 Lokalisierung + des Zertifikatsspeichers </h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td> <code>cfg:GenericConfiguration/@name</code> </td> - <td><code> DataBaseArchiveParameter.JDBCDriverClass</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td> Name </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:CertificateStore/cfg:DirectoryStore/cfg:Location</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>genau einmal</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Dieser Parameter kann verwendet werden, um MOA SP den Klassennamen des JDBC-Datenbanktreibers bekannt zu geben, der zur Ansprache der für die CRL-Archivierung zu verwendenden Datenbank benützt werden soll. Der Parameter wird nur dann ausgewertet, wenn der generische Konfigurationsparameter <code>archiveRevocationInfo</code> auf den Wert <code>true</code> gesetzt ist. -</p> - <p>Der Wert des Parameters muss den vollständig qualifizierten Java-Klassennamen des JDBC-Treibers enthalten. - <p class="remark">Bitte beachten Sie: Wird im Parameter <code>DataBaseArchiveParameter.JDBCUrl</code> entweder eine postgreSQL- oder eine mySQL-Datenbank referenziert, braucht dieser Paramter nicht angegeben zu werden; in diesen Standardfällen erfolgt eine automatische Zuordnung zur passenden JDBC-Treiberklasse. </p> - <p>Bitte beachten Sie: Informationen zum Anlegen einer Datenbank in postgreSQL finden Sie in <a href="../install/install.html#webservice_erweiterungsmöglichkeiten_datenbank_postgresql">Abschnitt 2.2.2.1</a> des Installationshandbuchs.</p> - <p>Für diesen Parameter existiert kein Default-Wert. </p></td> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:token</code> gibt ein Verzeichnis im lokalen Dateisystem + an, das von MOA als lokaler Zertifikatsspeicher verwendet werden soll. +Zulässige Werte für diesen Parameter sind absolute oder relative Pfadangaben, wobei relative Pfadangaben +als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentrale + Konfigurationsdatei gespeichert ist. Beispiele für zulässige Werte lauten:</p> + <pre>C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/certstore</pre> + <pre>certstore</pre></td> </tr> </table> - <h2><a name="konfigurationsparameter_hardwarekeymodule" id="konfigurationsparameter_hardwarekeymodule"></a>2.4 Hardware-Schlüsselspeicher</h2> + <h4><a name="konfigurationsparameter_sp_certificatevalidation_pathvalidation" id="konfigurationsparameter_sp_certificatevalidation_pathvalidation"></a>2.3.1.2 + Valdierung des Zertifikatspfads</h4> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathvalidation_chainingmode" id="konfigurationsparameter_sp_certificatevalidation_pathvalidation_chainingmode"></a>2.3.1.2.1 Gültigkeitsmodell + für die Zertifikatskettenprüfung</h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:HardwareKeyModule</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SS </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathValidation/cfg:ChainingMode</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional (zumindest ein Hardware- oder Software-Schlüsselspeicher muss vorhanden sein) </td> + <td>genau einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p>Mit diesem Element wird MOA SS die Verfügbarkeit eines Hardware-Schlüsselspeichers mitgeteilt. </p> - <p>Das Element weist bis zu vier Attribute auf:</p> <ul> - <li>Attribut <code>id</code>: Dieses obligatorische Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroup</code> auf dieses Konfigurationselement referenziert.</li> - <li> Attribut <code>name</code>: - - - Dieses obligatorische Attribut vom Typ <code>xs:string</code> enthält den Dateinamen der DLL (Windows) oder der Shared-Library (Unix), welche die PKCS#11-Schnittstelle zum Hardware-Schlüsselspeicher implementiert; der Wert enthält entweder einen Dateinamen mit absoluter Pfadangabe oder einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname relativ zum Suchpfad des Betriebssystems interpretiert. </li> - <li>Attribut <code>slotID</code>: Dieses optionale Attribut vom Typ <code>xs:string</code> gibt des Slot der PKCS#11-Schnittstelle an, über den der Hardware-Schlüsselspeicher von MOA SS angesprochen werden soll. Fehlt dieses Attribut, wählt MOA SS selbst einen Slot aus der Liste der verfügbaren Slots aus. </li> - <li>Attribut <code>userPIN</code>: Dieses obligatorische Attribut vom Typ <code>xs:string</code> enthält den PIN-Code zur Freischaltung der Schlüsselverwendung über die PKCS#11-Schnittstelle des Hardware-Schlüsselspeichers. </li> - </ul> - <p>Das Element hat keinen Element-Inhalt. </p></td> + <td><p> Dieses Element legt fest, ob MOA SP für die Prüfung der Gültigkeit + einer konstruierten Zertifikatskette das Kettenmodell aus ISIS-MTT oder das Schalenmodell aus dem PKIX + RFC 3280 verwenden soll. Es hat folgende Kindelemente:</p> + <ul> + <li><code>cfg:DefaultMode</code>: Dieses obligatorische Element gibt das Default-Modell für die Prüfung + der Gültigkeit einer konstruierten Zertifikatskette an. Gültige Werte sind <code>chaining</code> (Kettenmodell) + oder <code>pkix</code> (Schalenmodell). </li> + <li><code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet + werden, um für bestimmte Vertrauensanker (vergleiche nächsten Parameter <code>cfg:TrustProfile</code>) + Ausnahmen vom Default-Modell vorzugeben. + Das Element weist folgende Kindelemente auf: + <ul> + <li><code>cfg:Identification</code>: Dieses obligatorische Element identifiziert den Vertrauensanker, + für den ein bestimmtes Modell konfiguriert werden soll. Es entspricht vom Aufbau jenem + von <code>cfg:KeyCertIssuerSerial</code> in + Abschnitt <a href="#konfigurationsparameter_ss_keygroup">2.2.2</a>. Um zu den Werten für + Ausstellername und Seriennummer des Vertrauensankers zu kommen, können Sie auch hier + das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_ss_keygroup">2.2.2</a>) + verwenden. </li> + <li><code>cfg:Mode</code>: Dieses obligatorische Element vom Typ <code>xs:string</code> gibt + jenes Modell an, das von MOA SP für die + Prüfung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:Identification/dsig:X509IssuerName</code> und <code>cfg:Identification/dsig:X509SerialNumber</code> angegebenen + Vertrauensanker münden. Gültige Werte sind <code>chaining</code> (Kettenmodell) + oder <code>pkix</code> (Schalenmodell).</li> + </ul> + </li> + </ul> </td> </tr> </table> - <h2><a name="konfigurationsparameter_softwarekeymodule" id="konfigurationsparameter_softwarekeymodule"></a>2.5 Software-Schlüsselspeicher</h2> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile" id="konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile"></a>2.3.1.2.2 Vertrauensprofile </h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:SoftwareKeyModule</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SS </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathValidation/cfg:TrustProfile</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional (zumindest ein Hardware- oder Software-Schlüsselspeicher muss vorhanden sein)</td> + <td>einmal bis unbeschränkt oft (zumindest ein Vertrauensprofil muss vorhanden sein) </td> </tr> <tr> <td>Erläuterung</td> - <td><p>Mit diesem Element wird MOA SS die Verfügbarkeit eines Software-Schlüsselspeichers in Form einer PKCS#12-Datei mitgeteilt. </p> - <p>Das Element weist drei obligatorische Attribute auf:</p> + <td><p> Das Element <code>cfg:</code><code>TrustProfile</code> wird dazu verwendet, um in MOA SP ein Vertrauensprofil + für die Signaturprüfung einzurichten. Ein Vertrauensprofil besteht aus einer Menge von Vertrauensankern + und einer optionalen Menge von explizit erlaubten Signatorzertifikaten. </p> + <p>Ein Vertrauensanker ist ein CA-Zertifikat, das explizit als vertrauenswürdig eingestuft wird. + MOA SP versucht bei der Konstruktion einer Zertifikatskette, einen Pfad vom Signatorzertifikat bis + hin zu einem der konfigurierten Vertrauensanker zu finden. Gelingt dies, wird auch das Signatorzertifikat + als vertrauenswürdig betrachtet, ansonsten nicht. </p> + <p>Wird neben der Menge von Vertrauensankern auch noch eine Menge von explizit erlaubten Signatorzertifikaten + angegeben, prüft MOA SP nicht nur, ob sich ein Pfad vom Signatorzertifikat zu einem konfigurierten + Vertrauensanker konstruieren lässt, sondern darüber hinaus auch noch, ob das Signatorzertifikat + aus der zu prüfenden Signatur in der Menge der explizit erlaubten Signatorzertifikate vorkommt. + Explizit erlaubte Signatorzertifikate sollten Sie dann konfigurieren, wenn nicht allen von einer + als Vertrauensanker konfigurierten CA ausgestellten Zertifikaten vertraut werden soll, sondern nur + ganz bestimmten Zertifikaten dieser CA. </p> + <p>In MOA SP können beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von + MOA SP gibt im Request zur Signaturprüfung an, gegen welches Vertrauensprofil MOA SP die Zertifikatsprüfung + vornehmen soll.</p> + <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist folgende Kindelemente + auf:</p> <ul> - <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroup</code> auf dieses Konfigurationselement referenziert.</li> - <li> Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält den Dateinamen der PKCS#12-Datei, die den Software-Schlüsselspeicher repräsentiert. Der Wert enthält einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.</li> - <li>Attribut <code>password</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält das Passwort zum Entschlüsseln der Inhalte der PKCS#12-Datei. </li> - </ul> - <p>Das Element hat keinen Element-Inhalt. </p></td> + <li><code>Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enthält einen + frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei + eindeutig sein muss. Dieser Identifikator wird im Request zur Signaturprüfung verwendet, um + das zu verwendende Vertrauensprofil auszuwählen. </li> + <li>Element <code>TrustAnchorsLocation</code>: Dieses obligatorische Element vom Typ <code>xs:anyURI </code> enthält + eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. + Eine relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale + Konfigurationsdatei gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. + Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. + Jede Zertifikatsdatei repräsentiert einen Vertrauensanker. </li> + <li>Element <code>SignerCertsLocation</code>: Dieses optionale Element vom Typ <code>xs:anyURI </code> enthält + eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. Eine + relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei + gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte + Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei + repräsentiert ein explizit erlaubtes Signatorzertifikat. </li> + </ul></td> </tr> </table> - <h2><a name="konfigurationsparameter_keygroup" id="konfigurationsparameter_keygroup"></a>2.6 Schlüsselgruppen </h2> + <h4><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking"></a>2.3.1.3 + Widerrufsprüfung</h4> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking_enablechecking" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking_enablechecking"></a>2.3.1.3.1 Aktivieren + der Widerrufsprüfung</h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td>Name</td> - <td><code>cfg:KeyGroup</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SS </td> + <td> Name </td> + <td><code> cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:EnableChecking</code></td> </tr> <tr> <td>Gebrauch</td> - <td>obligatorisch (zumindest eine Schlüsselgruppe muss vorhanden sein) </td> + <td>genau einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p>Mit diesem Element wird in MOA SS eine Schlüsselgruppe definiert. Eine Schlüsselgruppe ist eine Zusammenfassung von einem oder mehreren privaten Schlüsseln, die in Hardware- bzw. Softwareschlüsselspeichern (vergleiche Abschnitte <a href="#konfigurationsparameter_hardwarekeymodule">2.4</a> bzw. <a href="#konfigurationsparameter_softwarekeymodule">2.5</a>) verwaltet werden. Die Schlüsselgruppe wird vom Kunden von MOA SS über einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen. </p> - <p>Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schlüssel aus der Schlüsselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit mögliche Parallelisierung (mehrere private Schlüssel werden parallel für Anfragen, die auf die gleiche Schlüsselgruppe referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern. </p> - <p>Das Element <code>cfg:KeyGroup</code> weist ein obligatorisches Attribut auf:</p> - <ul> - <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement <code>cfg:KeyGroupMapping</code> auf dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung der Signatur verwendet, um die zu verwendende Schlüsselgruppe anzugeben. </li> - </ul> - <p>Das Element <code>cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p> - <ul> - <li>Element <code>cfg:Key</code>: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt einen der privaten Schlüssel, aus denen sich die Schlüsselgruppe zusammensetzt. Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: - <ul> - <li>Element <code>cfg:KeyModuleID</code>: Dieses Element kommt genau einmal vor. Mit ihm wird auf einen der konfigurierten Hardware- oder Software-Schlüsselspeicher referenziert. Sein Textinhalt vom Typ <code>xs:token</code> enthält den Identifikator des Hardware- oder Software-Schlüsselspeichers, so wie er in <code>cfg:HardwareKeyModule/@id</code> bzw. <code>cfg:SoftwareKeyModule/@id</code> festgelegt wurde. </li> - <li>Element <code>cfg:KeyCertIssuerSerial</code>: Dieses Element kommt ebenfalls genau einmal vor. Mit ihm wird ein privater Schlüssel innerhalb des mit <code>cfg:KeyModuleID</code> ausgewählten Schlüsselspeichers ausgewählt (sowohl Hardware- als auch Softwareschlüsselspeicher können ja prinzipiell mehr als nur einen einzigen privaten Schlüssel verwalten). Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: - <ul> - <li>Element <code>dsig:X509IssuerName</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:string</code> enthält den Namen des Ausstellers des Zertifikats für den ausgewählten privaten Schlüssel.</li> - <li>Element <code>dsig:X509SerialNumber</code>: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ <code>xs:integer</code> enthält die Seriennummer des Zertifikats für den ausgewählten privaten Schlüssel. </li> - </ul> - </li> - </ul> - </li> - </ul> - <p>Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu erhalten, gehen Sie am besten wie folgt vor:</p> - <ol> - <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schlüsselspeicher mit Hilfe der Konfigurationselemente <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code>. </li> - <li>Starten Sie nun - mit bewusst fehlenden <code>cfg:KeyGroup</code> Elementen - den MOA SP/SS Server. Stellen Sie dabei sicher, dass das Log-Level für den Logger <code>moa.spss.server</code> zumindest auf das Niveau <code>info</code> eingestellt ist (Informationen zur Konfiguration des Loggings von MOA SP/SS finden Sie in <a href="../install/install.html#webservice_basisinstallation_logging">Abschnitt 2.1.3</a> des Installationshandbuchs). Im Log-File werden dann alle verfügbaren privaten Schlüssel an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:<br> - <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7 -INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key - ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre> - Der Wert der Eigenschaft ID des Logging-Eintrags gliedert sich in drei Teile: - <ol> - <li>Der erste Teil enthält den Identifikator des Hardware- bzw. Softwareschlüsselspeichers, so wie er im entsprechenden Konfigurationselement <code>cfg:HardwareKeyModule</code> bzw. <code>cfg:SoftwareKeyModule</code> erfasst wurde. </li> - <li>Der zweite Teil enthält nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats für den privaten Schlüssel, so wie er in <code>dsig:X509IssuerName</code> benötigt wird. </li> - <li>Der dritte Teil enthält nach dem zweiten Semikolon die Seriennummer des Zertifikats für den privaten Schlüssel, so wie er in <code>dsig:X509SerialNumber</code> benötigt wird. </li> - </ol> - </li> - <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in MOA SS zur Verfügung stehen sollen. </li> - </ol> - <p>Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis <code>tools</code> im MOA-Installationsverzeichnis verwenden, um zu den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p> - <pre>certtool -info <certfilename></pre> <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> - <pre>SubjectDN (RFC2253): - CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT -IssuerDN (RFC2253) : - CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : - 9</pre> <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob bei der Zertifikatsüberprüfung im Zuge einer Signaturprüfung auch der + Zertifikatsstatus jedes einzelnen Zertifikats des gebildeten Zertifikatspfads überprüft werden + soll. </p> + <p class="remark">Bitte beachten Sie: Die Widerrufsprüfung ist ein sehr wichtiger Schritt der + Zertifikatsüberprüfung und somit der Signaturprüfung. Eine Deaktivierung sollte nur + in begründeten Ausnahmefällen in Erwägung gezogen werden, z.B. für Testsituationen. </p> + <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> </td> </tr> </table> - <h2><a name="konfigurationsparameter_keygroupmapping" id="konfigurationsparameter_keygroupmapping"></a>2.7 Zuordnung von Schlüsselgruppen zu Kunden</h2> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking_maxrevocationage" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking_maxrevocationage"></a>2.3.1.3.2 + Maximales Alter der Widerrufsinformation </h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td>Name</td> - <td><code>cfg:KeyGroupMapping</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SS </td> + <td> Name </td> + <td><code> cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:MaxRevocationAge</code></td> </tr> <tr> <td>Gebrauch</td> - <td>obligatorisch (zumindest eine Zuordnung muss vorhanden sein) </td> + <td>genau einmal</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:KeyGroupMapping</code> ordnet einem Kunden von MOA SS die ihm zur Verfügung stehenden Schlüsselgruppen zu, indem das den Kunden repräsentierende SSL-Clientzertifikat mit einer oder mehreren Schlüsselgruppen assoziiert wird. </p> - <p>Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:</p> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:integer</code> gibt an, wie aktuell eine ggf. lokal + gespeicherte Widerrufsinformation sein muss, damit sie von MOA SP als gültig angesehen wird. Ist + die lokal gespeicherte Widerrufsinformation nicht aktuell genug, wird sie von MOA SP erneut aus dem + Internet geladen.</p> + <p>Dieser Parameter wird nur ausgewertet, wenn die Widerrufsprüfung aktiviert ist (siehe Parameter <code>cfg:EnableChecking</code>). </p> + <p>Zulässige Werte für diesen Parameter sind ganze Zahlen: </p> <ul> - <li>Element <code>cfg:X509IssuerSerial</code>: Dieses Element bezeichnet auf eindeutige Weise das den Kunden repräsentierende SSL-Clientzertifikat. Der Aufbau des Elements enspricht dem Aufbau des Elements <code>cfg:KeyCertIssuerSerial</code> in Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>. Um zu den Werten für Ausstellername und Seriennummer des SSL-Clientzertifikats zu kommen, können Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>) verwenden. </li> - <li>Element <code>cfg:KeyGroup</code>: Dieses Element kommt so oft vor, wie Schlüsselgruppen einem bestimmten SSL-Clientzertifikat zugeordnet werden sollen, mindestens jedoch einmal. Es weist ein obligatorisches Attribut <code>id</code> vom Typ <code>xs:token</code> auf, dessen Wert den Identifikator der Schlüsselgruppe enthält, so wie er in <code>cfg:KeyGroup/@id</code> festgelegt wurde. Das Element hat keinen Element-Inhalt. </li> - </ul> - <p class="remark">Bitte beachten Sie: Für maximal ein Konfigurationselement <code>cfg:KeyGroupMapping</code> kann <code>cfg:X509IssuerSerial</code> auch weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Kunden von MOA SS gleichermaßen zur Verfügung.</p></td> + <li>Ein beliebiger negativer Wert bedeutet, dass eine Widerrufsinformation jedes Mal, wenn sie benötigt + wird, neu aus dem Internet geladen wird. </li> + <li>Der Wert <code>0</code> bedeutet, dass eine Widerrufsinformation dann neu geladen wird, wenn + das Datum im Feld <code>nextUpdate</code> der entsprechenden Widerrufsliste bereits überschritten + ist.</li> + <li>Ein positiver Wert gibt gibt die Zeitspanne in Millisekunden an, nach der eine ggf. vorhandene + lokale Widerrufsinformation spätestens durch erneutes Laden aus dem Internet aktualisiert + wird.</li> + </ul> </td> </tr> </table> - <h2><a name="konfigurationsparameter_chainingmode" id="konfigurationsparameter_chainingmode"></a>2.8 Gültigkeitsmodell für die Zertifikatskettenprüfung - </h2> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking_serviceorder" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking_serviceorder"></a>2.3.1.3.3 + Reihenfolge der Widerrufsdienste</h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td>Name</td> - <td><code>cfg:ChainingModes</code></td> + <td> Name </td> + <td><code> cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:ServiceOrder</code></td> </tr> <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Gebrauch</td> + <td>Null mal oder einmal </td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p> Dieses Element gibt an, in welcher Reihenfolge MOA SP die Widerrufsdienste für die Prüfung des + Widerrufs für ein Zertifikat kontaktieren soll, wenn für das Zertifikat mehrere unterschiedliche Widerrufsdienste + (CRL, OCSP) verfügbar sind. Das Element weist folgendes Kindelement auf: </p> + <ul> + <li><code>cfg:Service</code>: Dieses Element vom Typ <code>xs:token</code> muss genau zwei mal vorkommen. Gütlige Werte für den + Textinhalt des Elements sind <code>OCSP</code> und <code>CRL</code>. Damit kann entweder die Reihenfolge (CRL, OCSP) oder (OCSP, + CRL) festgelegt werden. </li> + </ul> <p>Wird das Element nicht angegeben, so lautet die von MOA SP dann verwendete Default-Reihenfolge (OCSP, + CRL).</p> </td> + </tr> + </table> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving"></a>2.3.1.3.4 + Archivierung von Widerrufsinformationen</h5> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td> Name </td> + <td><code> cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:Archiving/cfg:EnableArchiving</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>genau einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:ChainingModes</code> legt fest, ob MOA SP für die Prüfung der Gültigkeit einer konstruierten Zertifikatskette das Kettenmodell aus ISIS-MTT oder das Schalenmodell aus dem PKIX RFC 3280 verwenden soll.</p> - <p>Das Element <code>cfg:ChainingModes</code> weist ein optionales Attribut auf:</p> - <ul> - <li>Attribut <code>systemDefaultMode</code>: Dieses Attribut gibt das Default-Modell für die Prüfung der Gültigkeit einer konstruierten Zertifikatskette an. Gültige Werte sind <code>chaining</code> (Kettenmodell) oder <code>pkix</code> (Schalenmodell). Wird das Attribut nicht angegeben, verwendet MOA SP als Default-Modell das Schalenmodell. </li> - </ul> - <p>Das Element <code>cfg:ChainingModes</code> hat folgenden Element-Inhalt:</p> - <ul> - <li>Element <code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet werden, um für bestimmte Vertrauensanker (vergleiche Abschnitt <a href="#konfigurationsparameter_trustprofile">2.11</a>) Ausnahmen vom Default-Modell vorzugeben. <br> - Das Element weist ein obligatorisches Attribut auf: - <ul> - <li>Attribut <code>mode</code>: Dieses Attribut gibt jenes Modell an, das von MOA SP für die Prüfung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:TrustAnchor/dsig:X509IssuerName</code> und <code>cfg:TrustAnchor/dsig:X509SerialNumber</code> angegebenen Vertrauensanker münden. Gültige Werte sind <code>chaining</code> (Kettenmodell) oder <code>pkix</code> (Schalenmodell).</li> - </ul> - <p>Der Element-Inhalt von <code>cfg:TrustAnchor</code> entspricht jenem von <code>cfg:KeyCertIssuerSerial</code> in Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>. Um zu den Werten für Ausstellername und Seriennummer des Vertrauensankers zu kommen, können Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>) verwenden. </p> - </li> - </ul> <p class="remark">Bitte beachten Sie: Für maximal ein Konfigurationselement <code>cfg:KeyGroupMapping</code> kann <code>cfg:X509IssuerSerial</code> auch weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Kunden von MOA SS gleichermaßen zur Verfügung.</p></td> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob mittlerweile ungültig + gewordene (i.e. historische) CRL-Widerrufsinformationen von MOA SP archiviert werden soll. </p> + <p>Wird dieser + Parameter auf den Wert <code>true</code> gesetzt, muss auch der Parameter <code>cfg:Archive</code> (siehe + unten) angegeben werden. Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> </td> </tr> </table> - <h2><a name="konfigurationsparameter_crlarchive" id="konfigurationsparameter_crlarchive"></a>2.8 Archivierungsdauer für Widerrufsinformationen</h2> + <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:CRLArchive</code></td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:Archiving/cfg:ArchiveDuration</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>Null mal oder einmal </td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p> Dieses Element vom Typ <code>xs:nonNegativeInteger</code> gibt (in Tagen) an, wie lange Widerrufsinformationen + von MOA SP archiviert werden müssen. Das Element wird von MOA SP nur dann ausgewertet, wenn der + Konfigurationsparameter <code>cfg:EnableArchiving</code> auf + true gesetzt ist. </p> + <p>Wird das Element nicht angegeben, so verwendet MOA SP den Default-Wert von 365 Tagen.</p> </td> </tr> + </table> + <table class="fixedWidth" border="1" cellpadding="2"> <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td> Name </td> + <td><code> cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:Archiving/cfg:Archive</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>Null mal oder einmal </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:CRLArchive</code> gibt an, wie lange Widerrufsinformationen von MOA SP archiviert werden müssen. Das Element wird von MOA SP nur dann ausgewertet, wenn der generische Konfigurationsparameter für die Archivierung von Widerrufsinformationen (<code>cfg:GenericConfiguration/@name="archiveRevocationInfo") </code>auf true gesetzt ist. </p> - <p>Das Element weist ein obligatorisches Attribut auf:</p> - <ul> - <li>Attribut <code>duration</code>: Dieses Attribut vom Typ<code> xs:nonNegativeInteger</code> gibt die Archivierungsdauer für Widerrufsinformationen in Tagen an. </li> - </ul> - <p>Das Element hat keinen Element-Inhalt </p></td> + <td><p>Dieses Element gibt an, welches Archiv MOA SP zur Archivierung von mittlerweile ungültig + gewordene (i.e. historische) CRL-Widerrufsinformationen verwenden soll, falls der Konfigurationsparameter <code>cfg:EnableArchiving</code> auf + <code>true</code> gesetzt ist. Es muss angegeben werden, wenn der + Konfigurationsparameter <code>cfg:EnableArchiving</code> auf true gesetzt ist. Das Element weist folgendes + Kindelement auf:</p> + <ul> + <li><code>cfg:DatabaseArchive</code>: Dieses obligatorische Element dient zur Angabe der notwendigen + Informationen für die Benutzung eines datenbankbasierten CRL-Archivs durch MOA SP. Das Datenbankarchiv + ist die einzige derzeit unterstützte Archivform. Das Element weist folgende Kindelemente auf: + <ul> + <li> <code>cfg:JDBCURL</code>: Dieses obligatorische Element vom Typ <code>xs:anyURI</code> gibt + die JDBC-URL zu jener Datenbank an, in der MOA historische Widerrufsinformationen archivieren + soll. Der genaue Aufbau der JDBC-URL ist abhängig von der verwendeten Datenbank. Im Fall von + PostgreSQL kann folgende URL verwendet werden: + <pre>jdbc:postgresql://<host>/<moadb>?user=<moauser>&amp;password=<moapassword></pre> + <p> Die Platzhalter <code><host></code>, <code><moadb></code>, <code><moauser></code> und <code><moapassword></code> müssen + dabei an die tatsächlich verwendete Datenbank angepasst werden.</p> + <p class="remark"> Bitte beachten Sie: Die Kodierung des Zeichens "&" als "&amp;" ist + erforderlich, da es andernfalls zu einem Validierungsfehler beim Parsen der XML-Konfigurationsdatei + durch MOA kommen würde.</p> + <p class="remark"> Bitte beachten Sie: MOA SP legt eigenständig eine passende Tabelle in der angegebenen + Datenbank an und befüllt diese dann in weiterer Folge. Der in der JDBC-URL angegebene Benutzer + muss mit den dazu passenden Rechten ausgestattet sein. </p> + </li> + <li><p><code>cfg:JDBCDriverClassName</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> gibt den + vollständig + qualifizierten Java-Klassennamen des JDBC-Treibers an, der von MOA SP zur Ansprache der für + die CRL-Archivierung zu verwendenden Datenbank benützt werden soll.</p> + <p class="remark">Bitte beachten Sie: Informationen zum Anlegen einer Datenbank in postgreSQL finden Sie in <a href="../install/install.html#webservice_erweiterungsmöglichkeiten_datenbank_postgresql">Abschnitt + 2.2.2.1</a> des Installationshandbuchs.</p> + </li> + </ul> + </li> + </ul> </td> </tr> </table> - <h2><a name="konfigurationsparameter_crldp" id="konfigurationsparameter_crldp"></a>2.9 Manuelle Konfiguration von Verteilungspunkten für Widerrufslisten</h2> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint"></a>2.3.1.3.5 + Manuelle Konfiguration von Verteilungspunkten für Widerrufsinformationen</h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:CRLDistributionPoint</code></td> - </tr> - <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:DistributionPoint</code></td> </tr> <tr> <td>Gebrauch</td> - <td>optional</td> + <td>Null mal bis unbeschränkt oft </td> </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:</code><code>CRLDistributionPoint</code> kann dazu verwendet werden, manuelle Verteilungspunkte für Widerrufslisten einer bestimmten CA zu konfigurieren. </p> + <td><p> Das Element <code>cfg:</code><code>CRLDistributionPoint</code> kann dazu verwendet werden, manuelle + Verteilungspunkte für Widerrufsinformationen einer bestimmten CA zu konfigurieren. </p> <p>Dies macht für veraltete Zertifikate Sinn, die nicht den aktuellen Vorgaben aus dem PKIX RFC 3280 entsprechen und im Zertifikat selbst keine Zertifikatserweiterung mit einem solchen Verteilungspunkt enthalten.</p> <p>Weiters kann diese manuelle Konfiguration verwendet werden, wenn die in einem Zertifikat enthaltenen Verteilungspunkte für eine bestimmte CA durch einen manuellen Eintrag überschrieben werden soll (etwa weil die im Zertifikat enthaltenen Verteilungspunkte in Form von ldap-URLs angegeben sind, MOA SP aber der Zugriff auf ldap-URLs per Firewall-Einstellungen untersagt ist; dann könnte man stattdessen manuell eine (lokale) http-URL als Verteilungspunkt angeben, die von MOA SP dann aufgelöst werden kann). </p> - <p>Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:</p> + <p>Das Element weist folgende Kind-Elemente auf:</p> <ul> - <li>Element <code>cfg:CAIssuerDN</code>: Dieses Element enthält als Textinhalt vom Typ <code>xs:string</code> den Namen jener CA, die das Zertifikat ausgestellt hat, dessen Widerruf mit Hilfe des zu konfigurierenden Verteilungspunktes geprüft werden soll. Um zu diesem Wert zu kommen, können Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>) verwenden, in dem Sie es für das Zertifikat anwenden, dessen Widerruf mit Hilfe des zu konfigurierenden Verteilsungspunktes geprüft werden soll.</li> - <li>Element <code>cfg:DistributionPoint</code>: Dieses Element weist bis zu zwei Attribute auf und hat keinen Element-Inhalt: + <li>Element <code>cfg:CAIssuerDN</code>: Dieses Element enthält als Textinhalt vom Typ <code>xs:string</code> den + Namen jener CA, die das Zertifikat ausgestellt hat, dessen Widerruf mit Hilfe des zu konfigurierenden + Verteilungspunktes geprüft werden soll. Um zu diesem Wert zu kommen, können Sie auch + hier das Script <code>certtool</code> (vergleiche Abschnitt<a href="#konfigurationsparameter_ss_keygroup"> 2.2.2</a>) + verwenden, in dem Sie es für das Zertifikat anwenden, dessen Widerruf mit Hilfe des zu konfigurierenden + Verteilungspunktes geprüft werden soll.</li> + <li>Element <code>cfg:CRLDP</code>: Dieses Element verweist auf einen Verteilungspunkt, an dem eine + Widerrufsliste abgeholt werden kann. Es weist folgende Kind-Elemente auf: <ul> - <li>Attribut <code>reasonCodes</code>: Dieses Attribut vom Typ xs:NMTOKENS enthält die in PKIX RFC 3280 angeführten möglichen Gründe eines Widerrufs, für welche die über den zu konfigurierenden Verteilungspunkt zu beziehende Widerrufsliste ausgestellt ist. Das Attribut kann einen oder auch mehrere Gründe enthalten. Mehrere Gründe werden durch Leerzeichen voneinander getrennt. Gültige Gründe sind <code>unused</code>, <code>keyCompromise</code>, <code>cACompromise</code>, <code>affiliationChanged</code>, <code>superseded</code>, <code>cessationOfOperation</code>, <code>certificateHold</code>, <code>privilegeWithdrawn</code> und <code>aACompromise</code>. Wird das Attribut <code>reasonCodes</code> nicht angegeben, werden alle möglichen Gründe gesetzt. </li> - <li>Attribut <code>uri</code>: Der Wert -dieses obligatorischen Attributs vom Typ<code> xs:anyURI</code> enthält die URL für den zu konfigurierenden Verteilungspunkt. Es werden die Protokolle HTTP, HTTPS und LDAP unterstützt.</li> + <li>Element<code> cfg:Location</code>: Der Wert dieses obligatorischen Elements vom Typ<code> xs:anyURI</code> enthält + die URL für den zu konfigurierenden Verteilungspunkt. Es werden die Protokolle HTTP, HTTPS + und LDAP unterstützt.</li> + <li>Element<code> cfg:ReasonCode</code>: Dieses Element vom Typ <code>xs:token</code> kann + null mal bis unbeschränkt + oft vorkommen und enthält + jeweils einen laut PKIX RFC 3280 möglichen Grund eines Widerrufs, + für + welche die über den zu konfigurierenden Verteilungspunkt zu beziehende Widerrufsliste + ausgestellt ist. Gültige Gründe sind <code>unused</code>, <code>keyCompromise</code>, <code>cACompromise</code>, <code>affiliationChanged</code>, <code>superseded</code>, <code>cessationOfOperation</code>, <code>certificateHold</code>, <code>privilegeWithdrawn</code> und <code>aACompromise</code>. + Wird eine Widerrufsliste für mehrere Gründe ausgestellt, muss also das Element <code>cfg:ReasonCode</code> mehrmals + angegeben werden. Wird das Element null mal angegeben, gilt der Verteilungspunkt für alle möglichen + Widerrufsgründe.</li> </ul> </li> - </ul> </td> + <li>Element <code>cfg:OCSPDP</code>: Dieses Element verweist auf einen Verteilungspunkt, an dem die + Widerrufsinformation von einem OCSP-Responder bezogen werden kann. Es weist folgendes Kind-Element + auf: + <ul> + <li></li> + </ul> + Element<code> cfg:Location</code>: Der Wert dieses obligatorischen Elements vom Typ<code> xs:anyURI</code> enthält + die URL für den zu konfigurierenden Verteilungspunkt. Es werden die Protokolle HTTP, HTTPS und + LDAP unterstützt.</li> + </ul> + <p>Hinweis: Die Elemente <code>cfg:CRLDP</code> bzw. <code>cfg:OSCPDP</code> können beliebig oft als Kinder von <code>cfg:CRLDistributionPoint</code> angegeben + werden. Die Reihenfolge spielt dabei keine Rolle. Jedenfalls muss aber eines dieser beiden Elemente + angegeben werden. </p></td> </tr> </table> - <h2><a name="konfigurationsparameter_profiles" id="konfigurationsparameter_profiles"></a>2.10 Vordefinierte Profile</h2> - <p>MOA SP/SS erlaubt die Hinterlegung von vordefinierten Profilen für folgende Bereiche, um die Angabe von ständig wiederkehrenden Informationen in Requests zur Erstellung bzw. Prüfung von Signaturen zu vermeiden:</p> - <ul> - <li><code>cfg:CreateSignatureEnvironmentProfile</code>: Enthält für eine zu erstellende XML-Signatur, die in ein bereits bestehendes XML-Dokument integriert werden soll, die Stelle, an der die XML-Signatur eingefügt werden soll, sowie allenfalls für die Verarbeitung des bestehenden XML-Dokuments notwendige Ergänzungsobjekte (z.B. ein XML-Schema für das validierende Parsen des bestehenden XML-Dokuments).</li> - <li><code>cfg:CreateTransformsInfoProfile</code>: Enthält für ein bestimmtes Datenobjekt für eine zu erstellende XML-Signatur die auf dieses Datenobjekt anzuwendenden Transformationen, sowie allenfalls für die Durchführung der Transformationen notwendige Ergänzungsobjekte (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> - <li><code>cfg:VerifyTransformsInfoProfile</code>: Enthält für ein bestimmtes Datenobjekt für eine zu prüfende XML-Signatur eine für dieses Datenobjekt erlaubte Transformationsfolge, bestehend aus den anzuwendenden Transformationen, sowie allenfalls für die Durchführung der Transformationen erlaubte implizite Transformationsparameter (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> - <li><code>cfg:SupplementProfile</code>: Enthält für ein Datenobjekt in der zu prüfenden XML-Signatur ein allenfalls für die Durchführung der vorgegebenen Transformationen notwendiges Ergänzungsobjekt (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> - </ul> - <p>Jedes dieser Elemente kann dabei beliebig oft (auch gar nicht) vorkommen. Alle Elemente teilen den gleichen Aufbau; sie weisen zwei obligatorische Attribute auf und haben keinen Element-Inhalt:</p> - <ul> - <li>Attribut <code> id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Erstellung bzw. zur Überprüfung der Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche die Elemente <code>moa:CreateSignatureEnvironmentProfileID</code>, <code>moa:CreateTransformsInfoProfileID</code>, <code>moa:VerifyTransformsInfoProfileID</code>, <code>moa:SupplementProfileID</code>). </li> - <li>Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als Wurzelelement eines der Elemente <code>moa:CreateSignatureEnvironmentProfile</code>, <code>moa:CreateTransformsInfoProfile</code>, <code>moa:VerifyTransformsInfoProfile</code> oder <code>moa:SupplementProfile</code> enthalten.</li> - </ul> - <h2><a name="konfigurationsparameter_trustprofile" id="konfigurationsparameter_trustprofile"></a>2.11 Vertrauensprofile </h2> + <h3><a name="konfigurationsparameter_sp_verifytransformsinfoprofile" id="konfigurationsparameter_sp_verifytransformsinfoprofile"></a>2.3.2 Profil für Transformationen</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> - <td><code>cfg:TrustProfile</code></td> + <td><code>cfg:SignatureVerification/cfg:VerifyTransformsInfoProfile</code></td> </tr> <tr> - <td>Relevanz</td> - <td>MOA SP</td> + <td>Gebrauch</td> + <td>Null mal bis unbeschränkt oft</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>MOA SP erlaubt die Hinterlegung eines vordefinierten Profils für eine erlaubte Transformationsfolge, + deren Einhaltung im Rahmen einer XML-Signaturprüfung kontrolliert wird. Im Request + zur XML-Signaturprüfung reicht es dann aus, auf dieses Profil zu referenzieren, anstatt die + gesamten Transformationen explizit anzugeben. </p> + <p><code>cfg:VerifyTransformsInfoProfile</code> enthält für ein bestimmtes Datenobjekt für + eine zu prüfende XML-Signatur eine + für dieses Datenobjekt erlaubte Transformationsfolge, bestehend aus den anzuwendenden Transformationen, + sowie allenfalls für die Durchführung der Transformationen erlaubte implizite Transformationsparameter + (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</p> + <p><code>cfg:</code><code>VerifyTransformsInfoProfile</code> weist folgende obligatorische Kindelemene + auf: </p> + <ul> + <li>Element<code> Id</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> enthält + einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der + XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Prüfung + der XML-Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche Element <code>moa:</code><code>VerifyTransformsInfoProfileID</code>). </li> + <li>Element<code></code> <code>Location</code>: Dieses Element<code></code> vom Typ <code>xs:anyURI</code> enthält + den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält eine relative + oder absolute URI. Eine relative URI wird von MOA SP als File-URI relativ zum Lage jenes Verzeichnisses + interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als + Wurzelelement das Element<code> moa:VerifyTransformsInfoProfile </code>enthalten.</li> + </ul></td> + </tr> + </table> + <h3><a name="konfigurationsparameter_sp_supplementprofile" id="konfigurationsparameter_sp_supplementprofile"></a>2.3.3 Profil für Ergänzungsobjekte</h3> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:SignatureVerification/cfg:SupplementProfile</code></td> </tr> <tr> <td>Gebrauch</td> - <td>obligatorisch (zumindest ein Vertrauensprofil muss vorhanden sein) </td> + <td>Null mal bis unbeschränkt oft</td> </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:</code><code>TrustProfile</code> wird dazu verwendet, um in MOA SP ein Vertrauensprofil für die Signaturprüfung einzurichten. Ein Vertrauensprofil besteht aus einer Menge von Vertrauensankern und einer optionalen Menge von explizit erlaubten Signatorzertifikaten. </p> - <p>Ein Vertrauensanker ist ein CA-Zertifikat, das explizit als vertrauenswürdig eingestuft wird. MOA SP versucht bei der Konstruktion einer Zertifikatskette, einen Pfad vom Signatorzertifikat bis hin zu einem der konfigurierten Vertrauensanker zu finden. Gelingt dies, wird auch das Signatorzertifikat als vertrauenswürdig betrachtet, ansonsten nicht. </p> - <p>Wird neben der Menge von Vertrauensankern auch noch eine Menge von explizit erlaubten Signatorzertifikaten angegeben, prüft MOA SP nicht nur, ob sich ein Pfad vom Signatorzertifikat zu einem konfigurierten Vertrauensanker konstruieren lässt, sondern darüber hinaus auch noch, ob das Signatorzertifikat aus der zu prüfenden Signatur in der Menge der explizit erlaubten Signatorzertifikate vorkommt. Explizit erlaubte Signatorzertifikate sollten Sie dann konfigurieren, wenn nicht allen von einer als Vertrauensanker konfigurierten CA ausgestellten Zertifikaten vertraut werden soll, sondern nur ganz bestimmten Zertifikaten dieser CA. </p> - <p>In MOA SP können beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von MOA SP gibt im Request zur Signaturprüfung an, gegen welches Vertrauensprofil MOA SP die Zertifikatsprüfung vornehmen soll.</p> - <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist zwei obligatorische und ein optionales Attribut auf und hat keinen Element-Inhalt:</p> - <ul> - <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Signaturprüfung verwendet, um das zu verwendende Vertrauensprofil auszuwählen. </li> - <li>Attribut <code>uri</code>: Dieses Attribut vom Typ <code>xs:anyURI </code> enthält eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. Eine relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert einen Vertrauensanker. </li> - <li>Attribut <code>signerCertsUri</code>: Dieses Attribut vom Typ <code>xs:anyURI </code> enthält eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. Eine relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. </li> - </ul> </td> + <td><p>MOA SS erlaubt die Hinterlegung eines vordefinierten Profils für ein Ergänzungsobjekt, + das im Rahmen einer XML-Signaturprüfung verwendet werden soll. Im Request zur XML-Signaturprüfung reicht es dann aus, auf dieses Profil zu referenzieren, anstatt die Informationen zur Signaturumgebung + explizit anzugeben. </p> + <p><code>cfg:SupplementProfile</code> enthält für ein Datenobjekt in der zu prüfenden + XML-Signatur ein allenfalls für die Durchführung der vorgegebenen Transformationen notwendiges + Ergänzungsobjekt (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</p> + <p><code>cfg:</code><code>SupplementProfile</code> weist folgende obligatorische Kindelemene auf: </p> + <ul> + <li>Element<code> Id</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> enthält + einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der + XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Prüfung + der XML-Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche Element <code>moa:</code><code>SupplementProfileID</code>). </li> + <li>Element<code></code> <code>Location</code>: Dieses Element<code></code> vom Typ <code>xs:anyURI</code> enthält + den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält eine relative + oder absolute URI. Eine relative URI wird von MOA SP als File-URI relativ zum Lage jenes Verzeichnisses + interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als + Wurzelelement das Element<code> moa:SupplementProfile </code>enthalten.</li> + </ul></td> </tr> </table> - <h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen</h1> <h2><a name="beispielkonfigurationen_minss" id="beispielkonfigurationen_minss"></a>3.1 Minimale Konfiguration für MOA SS</h2> - <p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für den alleinigen Betrieb von MOA SS. Darin enthalten sind folgende Konfigurationselemente:</p> + <p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für + den alleinigen Betrieb von MOA SS. Darin sind als Kinder des Wurzelelements <code>cfg:MOAConfiguration</code> folgende + Konfigurationselemente enthalten:</p> <ul> - <li>Ein Software-Schlüsselspeicher (<code>cfg:SoftwareKeyModule</code>)</li> - <li>Eine Schlüsselgruppe (<code>cfg:KeyGroup</code>)</li> - <li>Eine Zuordnung dieser Schlüsselgruppe für einen bestimmten Kunden (<code>cfg:KeyGroupMapping</code>) </li> + <li>Ein Software-Schlüsselspeicher (<code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule</code>);</li> + <li>Eine Schlüsselgruppe (<code>cfg:SignatureCreation/</code><code>cfg:KeyGroup</code>);</li> + <li>Eine Zuordnung dieser Schlüsselgruppe für einen bestimmten Kunden (<code>cfg:SignatureCreation/cfg:KeyGroupMapping</code>). </li> </ul> <p><a href="../../conf/moa-spss/ss.minimum.config.xml">Minimale Konfiguration für MOA SS</a> </p> <h2><a name="beispielkonfigurationen_minsp" id="beispielkonfigurationen_minsp"></a>3.2 Minimale Konfiguration für MOA SP</h2> - <p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für den alleinigen Betrieb von MOA SP. Darin enthalten sind folgende Konfigurationselemente:</p> + <p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für + den alleinigen Betrieb von MOA SP. Darin sind als Kinder des Wurzelelements <code>cfg:MOAConfiguration</code> folgende + Konfigurationselemente enthalten:</p> <ul> - <li>Ein Vertrauensprofil (<code>cfg:TrustProfile</code>) </li> + <li>Einstellungen betreffend die Konstruktion des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction</code>);</li> + <li>Einstellungen betreffend die Validierung des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathValidation</code>), + unter anderem ein Vertrauensprofil (<code>cfg:TrustProfile</code>);</li> + <li>Einstellungen betreffend die Widerrufsprüfung von Zertifikaten des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking</code>) . </li> </ul> <p><a href="../../conf/moa-spss/sp.minimum.config.xml">Minimale Konfiguration für MOA SP</a> </p> <h2><a name="beispielkonfigurationen_typspss" id="beispielkonfigurationen_typspss"></a>3.3 Typische Konfiguration für MOA SP/SS</h2> diff --git a/spss.handbook/handbook/faq/faq.html b/spss.handbook/handbook/faq/faq.html index 0d45cdcbf..74f26e70a 100644 --- a/spss.handbook/handbook/faq/faq.html +++ b/spss.handbook/handbook/faq/faq.html @@ -15,7 +15,7 @@ </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.3</a></p> <p class="subtitle">FAQ</p> <hr/> <h1>Inhalt</h1> @@ -102,7 +102,7 @@ http.nonProxyHosts="<exceptionhosts>"</pre> <p>Wenn Sie von einer älteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verfügung, mit dem Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren können.</p> - <p>Informationen zur Verwendung des Werkzeugs finden Sie in <a href="../config/config.html#übersicht_zentraledatei_aktualisierung">Abschnitt 1.1.1</a> des Konfigurationshandbuchs. </p> + <p>Informationen zur Verwendung des Werkzeugs finden Sie in <a href="../config/config.html#übersicht_zentraledatei_aktualisierung">Abschnitt 1.2.1</a> des Konfigurationshandbuchs. </p> </li> </ol> <h2>Verwendung</h2> diff --git a/spss.handbook/handbook/install/install.html b/spss.handbook/handbook/install/install.html index 59407b24b..4f343146d 100644 --- a/spss.handbook/handbook/install/install.html +++ b/spss.handbook/handbook/install/install.html @@ -15,7 +15,7 @@ </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.3</a></p> <p class="subtitle">Installation</p> <hr/> <h1>Inhalt</h1> @@ -161,7 +161,7 @@ <p>Für die dazu notwendige Konfiguration kann die im vorigen Abschnitt besprochene minimale Tomcat-Konfiguration als Ausgangspunkt verwendet werden: Zunächst ist der HTTP Connector abzuschalten (auszukommentieren). Anschließend ist der HTTPS Connector zu konfigurieren. Das Dokument <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/ssl-howto.html">Tomcat SSL Configuration HOW-TO </a> gibt einen guten Überblick dazu. Grob zusammengefasst sind folgende Schritte durchzuführen: </p> <ul> <li>Erstellung eines <span class="term">Server-Keystores</span>, der den privaten Schlüssel sowie das zugehörige Zertifikat des Webservices enthält, mit dem es sich bei Aufbau einer SSL-Verbindung gegenüber dem Kunden ausweist.sowie das dazugehörige ZertiServer-Zertifikat enthält. Sie können diesen Keystore z.B. mit <code>keytool</code> erstellen, einem Programm, das Ihrem J2SE SDK beiliegt.</li> - <li>Erstellung eines <span class="term">Client-Keystores</span>, der die Zertifikate aller Kunden des Webservices enthält. Nur Kunden des Webservices, die sich beim Aufbau einer SSL-Verbindung gegenüber dem Webservice mit einem im <span class="term">Client-Keystore</span> enthaltenen Zertifikat ausweisen, erhalten grundsätzlich Zugriff zu den Diensten des Webservices (für die Konfiguration, welcher Kunde welche Schlüssel von MOA SS verwenden darf, siehe <a href="../config/config.html#konfigurationsparameter_keygroupmapping">Abschnitt 2.7 des Konfigurationshandbuchs</a>). Auch dieser Keystore kann z.B. mit <code>keytool</code> erstellt werden. Dieser Keystore ist optional und braucht nur erstellt zu werden, wenn sich die Kunden gegenüber dem Webservice authentisieren müssen. </li> + <li>Erstellung eines <span class="term">Client-Keystores</span>, der die Zertifikate aller Kunden des Webservices enthält. Nur Kunden des Webservices, die sich beim Aufbau einer SSL-Verbindung gegenüber dem Webservice mit einem im <span class="term">Client-Keystore</span> enthaltenen Zertifikat ausweisen, erhalten grundsätzlich Zugriff zu den Diensten des Webservices (für die Konfiguration, welcher Kunde welche Schlüssel von MOA SS verwenden darf, siehe <a href="../config/config.html#konfigurationsparameter_ss_keygroupmapping">Abschnitt 2.2.3 des Konfigurationshandbuchs</a>). Auch dieser Keystore kann z.B. mit <code>keytool</code> erstellt werden. Dieser Keystore ist optional und braucht nur erstellt zu werden, wenn sich die Kunden gegenüber dem Webservice authentisieren müssen. </li> <li>Konfiguration des HTTPS Connectors in <code>$CATALINA_HOME/conf/server.xml</code>.</li> </ul> <p>Die Konfiguration des HTTPS Connectors kann entfallen, wenn Tomcat ein Webserver vorgeschaltet ist, und dieser die SSL-Kommunikation mit dem Kunden übernimmt (siehe <a href="#webservice_erweiterungsmöglichkeiten_webserver">Abschnitt 2.2.1</a>).</p> @@ -357,7 +357,7 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> </ul> </li> </ul> - <p>Vergleiche auch Abschnitt <a href="../config/config.html#konfigurationsparameter_genericconfiguration_widerruf_archiveRevocationInfo">2.3.2.3</a> im + <p>Vergleiche auch Abschnitt <a href="../config/config.html#konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving">2.3.1.3.4</a> im Konfigurationshandbuch.</p> <h5><a name="webservice_erweiterungsmöglichkeiten_datenbank_postgresql_logging" id="webservice_erweiterungsmöglichkeiten_datenbank_postgresql_logging"></a>2.2.2.1.3 Logging</h5> <p>Für das Logging in eine <span class="term">PostgreSQL</span> Datenbank mittels <span class="term">Jakarta Log4j</span> muss zunächst eine Tabelle für die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden:</p> @@ -371,7 +371,7 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> <h3><a name="webservice_erweiterungsmöglichkeiten_hsm" id="webservice_erweiterungsmöglichkeiten_hsm"></a>2.2.3 Hardware Security Module (HSM)</h3> <p>MOA SS kann für die Erstellung von Signaturen auf die Dienste eines HSM zurückgreifen. Voraussetzung dafür ist, dass für das HSM eine Implementierung der Schnittstelle PCKS#11 (PKCS#11-Bibliothek) angeboten wird. </p> <p>Für die Einbindung des HSM in MOA SS müssen zunächst die Bibliotheken aus <code>$MOA_SPSS_INST/pkcs11</code> in ein beliebiges Verzeichnis kopiert werden, welches dann in den Libray-Pfad des jeweiligen Betriebssystems aufgenommen werden muss (Windows: Umgebungsvariable <code>PATH</code>; Linux: Umgebungsvariable <code>LD_LIBRARY_PATH</code>). </p> - <p>Der Name der für das HSM spezifischen PKCS#11-Bibliothek muss in der Konfigurationsdatei eingetragen werden (vergleiche Abschnitt <a href="../config/config.html#konfigurationsparameter_hardwarekeymodule">2.4</a> des Konfigurationshandbuchs).</p> + <p>Der Name der für das HSM spezifischen PKCS#11-Bibliothek muss in der Konfigurationsdatei eingetragen werden (vergleiche Abschnitt <a href="../config/config.html#konfigurationsparameter_ss_keymodules_hardwarekeymodule">2.2.1.1</a> des Konfigurationshandbuchs).</p> <h1><a name="klassenbibliothek"></a>3 Klassenbibliothek</h1> <p>Dieser Abschnitt beschreibt die Verwendung von MOA SP/SS als Klassenbibliothek. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsmöglichkeiten auf.</p> <h2><a name="klassenbibliothek_basisinstallation" id="klassenbibliothek_basisinstallation"></a>3.1 Basisinstallation</h2> diff --git a/spss.handbook/handbook/intro/intro.html b/spss.handbook/handbook/intro/intro.html index 7bc3e35c0..8b1bc381f 100644 --- a/spss.handbook/handbook/intro/intro.html +++ b/spss.handbook/handbook/intro/intro.html @@ -15,7 +15,7 @@ </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.3</a></p> <p class="subtitle">Einführung</p> <hr/> <h1>Inhalt</h1> diff --git a/spss.handbook/handbook/usage/usage.html b/spss.handbook/handbook/usage/usage.html index 01f9c09fd..69e21d5f0 100644 --- a/spss.handbook/handbook/usage/usage.html +++ b/spss.handbook/handbook/usage/usage.html @@ -15,7 +15,7 @@ </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.3</a></p> <p class="subtitle">Anwendung</p> <hr/> <h1>Inhalt</h1> |