diff options
-rw-r--r-- | spss.handbook/handbook/config/config.html | 48 |
1 files changed, 43 insertions, 5 deletions
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 6577aa78c..da1295348 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -73,6 +73,10 @@ <td><code>http://www.w3.org/2000/09/xmldsig#</code></td> </tr> <tr> + <td>moa</td> + <td><code>http://reference.e-government.gv.at/namespace/moa/20020822#</code></td> + </tr> + <tr> <td><code>xs</code></td> <td><code>http://www.w3.org/2001/XMLSchema</code></td> </tr> @@ -370,14 +374,12 @@ INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <li>Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in MOA SS zur Verfügung stehen sollen. </li> </ol> <p>Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script <code>certtool</code> aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu kommen: </p> - <pre>certtool -info <certfilename></pre> - <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> + <pre>certtool -info <certfilename></pre> <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> <pre>SubjectDN (RFC2253): CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT IssuerDN (RFC2253) : CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : - 9</pre> - <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> + 9</pre> <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> </tr> </table> <h2><a name="konfigurationsparameter_keygroupmapping" id="konfigurationsparameter_keygroupmapping"></a>2.7 Zuordnung von Schlüsselgruppen zu Benutzern</h2> @@ -424,13 +426,49 @@ IssuerDN (RFC2253) : <li>Element <code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet werden, um für bestimmte Vertrauensanker (<span class="comment">vergleiche Abschnitt TBD</span>) Ausnahmen vom Default-Modell vorzugeben. <br> Das Element weist ein obligatorisches Attribut auf: <ul> - <li>Attribut <code>mode</code>: Dieses Attribut gibt jenes Modell an, das von MOA SP für die Prüfung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:TrustAnchor/dsig:X509IssuerName</code> und <code>cfg:TrustAnchor/dsig:X509SerialNumber</code> angegebenen Vertrauensanker münden. </li> + <li>Attribut <code>mode</code>: Dieses Attribut gibt jenes Modell an, das von MOA SP für die Prüfung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels <code>cfg:TrustAnchor/dsig:X509IssuerName</code> und <code>cfg:TrustAnchor/dsig:X509SerialNumber</code> angegebenen Vertrauensanker münden. Gültige Werte sind <code>chaining</code> (Kettenmodell) oder <code>pkix</code> (Schalenmodell).</li> </ul> <p>Der Element-Inhalt von <code>cfg:TrustAnchor</code> entspricht jenem von <code>cfg:KeyCertIssuerSerial</code> in Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>. Um zu den Werten für Ausstellername und Seriennummer des Vertrauensankers zu kommen, können Sie auch hier das Script <code>certtool</code> (vergleiche Abschnitt <a href="#konfigurationsparameter_keygroup">2.6</a>) verwenden. </p> </li> </ul> <p class="remark">Bitte beachten Sie: Für maximal ein Konfigurationselement <code>cfg:KeyGroupMapping</code> kann <code>cfg:X509IssuerSerial</code> auch weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Benutzern von MOA SS gleichermaßen zur Verfügung.</p></td> </tr> </table> + <h2><a name="konfigurationsparameter_crlarchive" id="konfigurationsparameter_crlarchive"></a>2.8 Archivierungsdauer für Widerrufsinformationen</h2> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:CRLArchive</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>optional</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p> Das Element <code>cfg:CRLArchive</code> gibt an, wie lange Widerrufsinformationen von MOA SP archiviert werden müssen. Das Element wird von MOA SP nur dann ausgewertet, wenn der generische Konfigurationsparameter für die Archivierung von Widerrufsinformationen (<code>cfg:GenericConfiguration/@name="archiveRevocationInfo") </code>auf true gesetzt ist. </p> + <p>Das Element weist ein obligatorisches Attribut auf:</p> + <ul> + <li>Attribut <code>duration</code>: Dieses Attribut vom Typ<code> xs:nonNegativeInteger</code> gibt die Archivierungsdauer für Widerrufsinformationen in Tagen an. </li> + </ul> + <p>Das Element hat keinen Element-Inhalt </p></td> + </tr> + </table> + <h2><a name="konfigurationsparameter_crldp" id="konfigurationsparameter_crldp"></a>2.9 Manuelle Konfiguration von Verteilungspunkten für Widerrufslisten</h2> + <p> </p> + <h2><a name="konfigurationsparameter_profiles" id="konfigurationsparameter_profiles"></a>2.10 Vordefinierte Profile</h2> + <p>MOA SP/SS erlaubt die Hinterlegung von vordefinierten Profilen für folgende Bereiche, um die Angabe von ständig wiederkehrenden Informationen in Requests zur Erstellung bzw. Prüfung von Signaturen zu vermeiden:</p> + <ul> + <li><code>cfg:CreateSignatureEnvironmentProfile</code>: Enthält für eine zu erstellende XML-Signatur, die in ein bereits bestehendes XML-Dokument integriert werden soll, die Stelle, an der die XML-Signatur eingefügt werden soll, sowie allenfalls für die Verarbeitung des bestehenden XML-Dokuments notwendige Ergänzungsobjekte (z.B. ein XML-Schema für das validierende Parsen des bestehenden XML-Dokuments).</li> + <li><code>cfg:CreateTransformsInfoProfile</code>: Enthält für ein bestimmtes Datenobjekt für eine zu erstellende XML-Signatur die auf dieses Datenobjekt anzuwendenden Transformationen, sowie allenfalls für die Durchführung der Transformationen notwendige Ergänzungsobjekte (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> + <li><code>cfg:VerifyTransformsInfoProfile</code>: Enthält für ein bestimmtes Datenobjekt für eine zu prüfende XML-Signatur einen für dieses Datenobjekt erlaubten Transformationsweg, bestehend aus den anzuwendenden Transformationen, sowie allenfalls für die Durchführung der Transformationen erlaubten Ergänzungsobjekte (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> + <li><code>cfg:SupplementProfile</code>: Enthält für ein Datenobjekt in der zu prüfenden XML-Signatur ein allenfalls für die Durchführung der vorgegebenen Transformationen notwendiges Ergänzungsobjekt (z.B. einen zu importierenden Stylesheet für eine XSL-Transformation).</li> + </ul> + <p>Jedes dieser Elemente kann dabei beliebig oft vorkommen. Alle Elemente teilen den gleichen Aufbau; sie weisen zwei obligatorische Attribute auf und haben keinen Element-Inhalt:</p> + <ul> + <li>Attribut <code> id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Erstellung bzw. zur Überprüfung der Signatur verwendet, um das hinterlegte Profil zu referenzieren (vergleiche die Elemente <code>moa:CreateSignatureEnvironmentProfileID</code>, <code>moa:CreateTransformsInfoProfileID</code>, <code>moa:VerifyTransformsInfoProfileID</code>, <code>moa:SupplementProfileID</code>). </li> + <li>Attribut <code>filename</code>: Dieses Attribut vom Typ <code>xs:string</code> enthält den Namen der XML-Datei, die das hinterlegte Profil beinhaltet. Der Wert enthält einen Dateinamen mit absoluter oder relativer Pfadangabe. Eine relative Pfadangabe wird von MOA SS relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Die XML-Datei muss als Wurzelelement eines der Elemente <code>moa:CreateSignatureEnvironmentProfile</code>, <code>moa:CreateTransformsInfoProfile</code>, <code>moa:VerifyTransformsInfoProfile</code> oder <code>moa:SupplementProfile</code> enthalten.</li> + </ul> + <p> </p> <h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen </h1> <p> </p> </body> |