diff options
-rw-r--r-- | spss.handbook/handbook/config/config.html | 7 |
1 files changed, 5 insertions, 2 deletions
diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 501b851b1..696919ecc 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -613,12 +613,15 @@ dieses obligatorischen Attributs vom Typ<code> xs:anyURI</code> enthält die </tr> <tr> <td>Erläuterung</td> - <td><p> Das Element <code>cfg:</code><code>TrustProfile</code> wird dazu verwendet, um in MOA SP ein Vertrauensprofil für die Signaturprüfung einzurichten. Ein Vertrauensprofil ist eine Sammlung von Vertrauensankern. Ein Vertrauensanker ist ein CA-Zertifikat, das explizit als vertrauenswürdig eingestuft wird. MOA SP versucht bei der Konstruktion einer Zertifikatskette, einen Pfad vom Signatorzertifikat bis hin zu einem der konfigurierten Vertrauensanker zu finden. Gelingt dies, wird auch das Signatorzertifikat als vertrauenswürdig betrachtet, ansonsten nicht. </p> + <td><p> Das Element <code>cfg:</code><code>TrustProfile</code> wird dazu verwendet, um in MOA SP ein Vertrauensprofil für die Signaturprüfung einzurichten. Ein Vertrauensprofil besteht aus einer Menge von Vertrauensankern und einer optionalen Menge von explizit erlaubten Signatorzertifikaten. </p> + <p>Ein Vertrauensanker ist ein CA-Zertifikat, das explizit als vertrauenswürdig eingestuft wird. MOA SP versucht bei der Konstruktion einer Zertifikatskette, einen Pfad vom Signatorzertifikat bis hin zu einem der konfigurierten Vertrauensanker zu finden. Gelingt dies, wird auch das Signatorzertifikat als vertrauenswürdig betrachtet, ansonsten nicht. </p> + <p>Wird neben der Menge von Vertrauensankern auch noch eine Menge von explizit erlaubten Signatorzertifikaten angegeben, prüft MOA SP nicht nur, ob sich ein Pfad vom Signatorzertifikat zu einem konfigurierten Vertrauensanker konstruieren lässt, sondern darüber hinaus auch noch, ob das Signatorzertifikat aus der zu prüfenden Signatur in der Menge der explizit erlaubten Signatorzertifikate vorkommt. Explizit erlaubte Signatorzertifikate sollten Sie dann konfigurieren, wenn nicht allen von einer als Vertrauensanker konfigurierten CA ausgestellten Zertifikaten vertraut werden soll, sondern nur ganz bestimmten Zertifikaten dieser CA. </p> <p>In MOA SP können beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von MOA SP gibt im Request zur Signaturprüfung an, gegen welches Vertrauensprofil MOA SP die Zertifikatsprüfung vornehmen soll.</p> - <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist zwei obligatorische Attribute auf und hat keinen Element-Inhalt:</p> + <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist zwei obligatorische und ein optionales Attribut auf und hat keinen Element-Inhalt:</p> <ul> <li>Attribut <code>id</code>: Dieses Attribut vom Typ <code>xs:token</code> enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Dieser Identifikator wird im Request zur Signaturprüfung verwendet, um das zu verwendende Vertrauensprofil auszuwählen. </li> <li>Attribut <code>uri</code>: Dieses Attribut vom Typ <code>xs:anyURI </code> enthält eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. Eine relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert einen Vertrauensanker. </li> + <li>Attribut <code>signerCertsUri</code>: Dieses Attribut vom Typ <code>xs:anyURI </code> enthält eine relative oder absolute URL, die ein Verzeichnis im lokalen Dateisystem referenziert. Eine relative URL wird relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. </li> </ul> </td> </tr> </table> |