diff options
Diffstat (limited to 'spss/handbook/handbook/config/config.html')
-rw-r--r-- | spss/handbook/handbook/config/config.html | 160 |
1 files changed, 109 insertions, 51 deletions
diff --git a/spss/handbook/handbook/config/config.html b/spss/handbook/handbook/config/config.html index 5561a3696..f44bd7dc0 100644 --- a/spss/handbook/handbook/config/config.html +++ b/spss/handbook/handbook/config/config.html @@ -5,49 +5,53 @@ <title>MOA SS und SP - Konfiguration</title> <link rel="stylesheet" href="../common/MOA.css" type="text/css"> </head> -<body bgcolor="white" text="#000000" link="#990000" vlink="#666666" alink="#cc9966"> +<body link="#990000"> <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> <tr> - <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> - <td align="center" class="logoTitle">Open Source<br> - für das E-Government</td> - <td align="center" class="logoTitle" width="123"><img src="../common/LogoMoa4c.jpg" alt="Logo MOA" width="123" height="138" align="right"></td> + <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> + <td align="center" class="logoTitle">Dokumentation</td> + <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> </tr> </table> <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.5</a></p> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP)</a></p> <p class="subtitle">Konfiguration</p> <hr/> <h1>Inhalt</h1> <ol> <li> - <p><a href="#übersicht">Übersicht</a></p> + <p><a href="#uebersicht">Übersicht</a></p> <ol> - <li><a href="#übersicht_allgemeines">Allgemeines</a> + <li><a href="#uebersicht_allgemeines">Allgemeines</a> <ol> - <li><a href="#übersicht_allgemeines_namenskonventionen">Namenskonventionen</a></li> + <li><a href="#uebersicht_allgemeines_namenskonventionen">Namenskonventionen</a></li> </ol> </li> - <li><a href="#übersicht_zentraledatei">Zentrale Konfigurationsdatei</a> + <li><a href="#uebersicht_zentraledatei">Zentrale Konfigurationsdatei</a> <ol> - <li><a href="#übersicht_zentraledatei_aktualisierung">Aktualisierung auf das Format von MOA SP/SS 1.3</a></li> + <li><a href="#uebersicht_zentraledatei_aktualisierung">Aktualisierung auf das Format von MOA SP/SS 1.3</a></li> </ol> </li> - <li><a href="#übersicht_bekanntmachung">Bekanntmachung der Konfigurationsdatei + <li><a href="#uebersicht_bekanntmachung">Bekanntmachung der Konfigurationsdatei </a> <ol> - <li><a href="#übersicht_bekanntmachung_laufenderbetrieb">Aktualisierung der Konfiguration im laufenden Betrieb</a></li> + <li><a href="#uebersicht_bekanntmachung_laufenderbetrieb">Aktualisierung der Konfiguration im laufenden Betrieb</a></li> </ol> </li> - <li><a href="#übersicht_logging">Konfiguration des Loggings</a></li> + <li><a href="#uebersicht_logging">Konfiguration des Loggings</a></li> </ol> </li> <li><a href="#konfigurationsparameter">Konfigurationsparameter</a> <ol> <li><a href="#konfigurationsparameter_allgemein">Allgemeines Parameter</a> <ol> <li><a href="#konfigurationsparameter_allgemein_hardwarecryptomodule">Hardwarebasiertes Kryptographiemodul</a></li> - <li><a href="#konfigurationsparameter_allgemein_permitexternaluris">Auflösen externer URIs</a></li> - </ol> + <li><a href="#konfigurationsparameter_allgemein_externaluris">Auflösen externer URIs</a> + <ol> + <li><a href="#konfigurationsparameter_allgemein_externaluris_blacklisting">Blacklisting</a></li> + <li><a href="#konfigurationsparameter_allgemein_externaluris_whitelisting">Whitelisting</a></li> + </ol> + </li> + </ol> </li> <li><a href="#konfigurationsparameter_ss">Parameter für MOA SS</a> <ol> <li><a href="#konfigurationsparameter_ss_keymodules">Schlüsselspeicher</a> <ol> @@ -61,6 +65,7 @@ <li><a href="#konfigurationsparameter_ss_xmldsig">Parameter für XML-Signaturen</a> </li> <li><a href="#konfigurationsparameter_ss_createtransformsinfoprofile">Profil für Transformationen</a></li> <li><a href="#konfigurationsparameter_ss_createsignatureenvironmentprofile">Profil für Signaturumgebung </a></li> + <li><a href="#konfigurationsparameter_ss_xades">XAdES Version</a></li> </ol> </li> <li><a href="#konfigurationsparameter_sp">Parameter für MOA SP</a> <ol> @@ -108,13 +113,13 @@ </ol> </li> </ol> - <hr/> - <h1><a name="übersicht" id="übersicht"></a>1 Übersicht </h1> +<hr/> + <h1><a name="uebersicht" id="uebersicht"></a>1 Übersicht </h1> <p>Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für MOA SP/SS. Wenn nicht anders angegeben, beziehen sich die Erläuterungen sowohl auf die Konfiguration des Webservices als auch auf die Konfiguration von MOA SP/SS für den Einsatz als Klassenbibliothek.</p> - <h2><a name="übersicht_allgemeines" id="übersicht_allgemeines"></a>1.1 Allgemeines</h2> - <h3><a name="übersicht_allgemeines_namenskonventionen" id="übersicht_allgemeines_namenskonventionen"></a>1.1.1 Namenskonventionen </h3> + <h2><a name="uebersicht_allgemeines" id="uebersicht_allgemeines"></a>1.1 Allgemeines</h2> + <h3><a name="uebersicht_allgemeines_namenskonventionen" id="uebersicht_allgemeines_namenskonventionen"></a>1.1.1 Namenskonventionen </h3> <p>Folgende Namenraum-Präfixe werden in diesem Handbuch zur Kennzeichnung der Namenräume - von XML-Elementen verwendet: </p> + von XML-Elementen verwendet: </p> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <th scope="col">Präfix</th> @@ -129,7 +134,7 @@ <td><code>http://www.w3.org/2000/09/xmldsig#</code></td> </tr> <tr> - <td>moa</td> + <td><code>moa</code></td> <td><code>http://reference.e-government.gv.at/namespace/moa/20020822#</code></td> </tr> <tr> @@ -137,9 +142,9 @@ <td><code>http://www.w3.org/2001/XMLSchema</code></td> </tr> </table> - <h2><a name="übersicht_zentraledatei" id="übersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2> + <h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2> <p>Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-1.5.2.xsd">MOA-SPSS-config-1.5.2.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erläutert die Konfigurationsmöglichkeiten im Einzelnen.</p> - <h3><a name="übersicht_zentraledatei_aktualisierung" id="übersicht_zentraledatei_aktualisierung"></a>1.2.1 + <h3><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>1.2.1 Aktualisierung auf das Format von MOA SP/SS 1.3</h3> <p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die XML-Konfigurationsdatei. </p> @@ -153,19 +158,18 @@ an, der zweite Parameter Pfad und Dateiname für die zu erzeugende Konfigurationsdatei im neuen Format (<span class="remark">Hinweis: Die Beispielpfade beziehen sich auf Windows-Betriebssysteme; für Unix-Betriebssysteme wählen Sie bitte sinngemäße Pfade.</span>). </p> - <h2><a name="übersicht_bekanntmachung" id="übersicht_bekanntmachung"></a>1.3 Bekanntmachung der Konfigurationsdatei</h2> + <h2><a name="uebersicht_bekanntmachung" id="uebersicht_bekanntmachung"></a>1.3 Bekanntmachung der Konfigurationsdatei</h2> <p>Die zentrale Konfigurationsdatei von MOA SP/SS wird der <span class="term">Java Virtual Machine</span>, in der MOA SP/SS läuft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D<name>=<wert></code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.spss.server.configuration</code>; als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p> <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml </pre> <p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA SP/SS erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p> -<h3><a name="übersicht_bekanntmachung_laufenderbetrieb" id="übersicht_bekanntmachung_laufenderbetrieb"></a>1.3.1 +<h3><a name="uebersicht_bekanntmachung_laufenderbetrieb" id="uebersicht_bekanntmachung_laufenderbetrieb"></a>1.3.1 Aktualisierung der Konfiguration im laufenden Betrieb</h3> <p>Wird MOA SP/SS als Webservice eingesetzt, kann durch Aufrufen einer speziellen URL des Webservice ein erneutes Einlesen der Konfigurationsdatei erzwungen werden. Damit ist es möglich, Änderungen an der Konfigurationsdatei vorzunehmen, und diese Änderungen ohne Neustart des zu Grunde liegenden Servlet Containers in den Betrieb zu übernehmen.</p> <p>Weitere Informationen zum erneuten Einlesen der Konfigurationsdatei im Webservice-Betrieb erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_changeonthefly">Abschnitt 2.1.2.5</a> des Installationshandbuchs.</p> -<h2><a name="übersicht_logging" id="übersicht_logging"></a>1.4 Konfiguration des Loggings</h2> - <p>MOA SP/SS verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch MOA SP/SS, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.</p> - <p> - <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/log4j.properties</pre> +<h2><a name="uebersicht_logging" id="uebersicht_logging"></a>1.4 Konfiguration des Loggings</h2> + <p>MOA SP/SS verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch MOA SP/SS, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B. </p> +<pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/log4j.properties</pre> Weitere Informationen zur Konfiguration des Loggings erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_logging">Abschnitt 2.1.3</a> des Installationshandbuchs. <p></p> <h1><a name="konfigurationsparameter"></a>2 Konfigurationsparameter</h1> @@ -212,7 +216,14 @@ </tr> </table> - <h3><a name="konfigurationsparameter_allgemein_permitexternaluris" id="konfigurationsparameter_allgemein_permitexternaluris"></a>2.1.2 Auflösen externer URIs</h3> + <h3><a name="konfigurationsparameter_allgemein_externaluris" id="konfigurationsparameter_allgemein_externaluris"></a>2.1.2 Auflösen externer URIs</h3> + <p>Standardmäßig ist das Auflösen von externen URIs (inkl. localhost) deaktiviert (d.h. keines der nachfolgenden Konfigurationselement <code>cfg:PermitExternalUris</code> bzw. <code>cfg:ForbidExternalUris</code> existiert). Es gibt jedoch zwei Möglichkeiten das Auflösen zu aktivieren: </p> + <ul> + <li>Blacklisting: Hierbei wird das Auflösen von externen URIs erlaubt. Es kann jedoch durch die Angaben einer Blacklist der Zugriff auf bestimmte URIs eingeschränkt werden.</li> + <li>Whitelisting: Hierbei ist das Auflösen von externen URIs weiterhin verboten. Es kann jedoch durch die Angabe einer Whitelist der Zugriff auf bestimmte URIs gestattet werden.</li> +</ul> +<p>Diese beiden Möglichkeiten stehen wahlweise zur Verfügung, d.h. es kann entweder Blacklisting oder Whitelisting konfiguriert werden.</p> +<h4><a name="konfigurationsparameter_allgemein_externaluris_blacklisting" id="konfigurationsparameter_allgemein_externaluris_blacklisting"></a>2.1.2.1 Blacklisting</h4> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> @@ -224,7 +235,7 @@ </tr> <tr> <td>Erläuterung</td> - <td><p>Mit diesem Element wird MOA SP bzw. SS mitgeteilt ob das Auflösen externer URIs (inkl. localhost) erlaubt ist. Fehlt dieses Element, so ist das Auflösen externer URIs deaktiviert. Ist dieses Element vorhanden, so ist das Auflösen aller externer URIs aktiviert. Durch einen Blacklist-Mechanismus kann jedoch eingeschränkt werden, dass bestimmte URIs, die sich auf dieser Blacklist befinden, nicht aufgelöst werden. Diese Blacklist kann in dem folgenden Kindelement angegeben werden:</p> + <td><p>Mit diesem Element wird MOA SP bzw. SS mitgeteilt, dass das Auflösen externer URIs (inkl. localhost) erlaubt ist. Ist dieses Element vorhanden, so ist das Auflösen aller externer URIs aktiviert. Durch einen Blacklist-Mechanismus kann jedoch eingeschränkt werden, dass bestimmte URIs, die sich auf dieser Blacklist befinden, nicht aufgelöst werden. Diese Blacklist kann in dem folgenden Kindelement angegeben werden:</p> <ul> <li>Element <code>cfg:BlackListUri</code>: Dieses optionale und unbegrenzten Element gibt einen Blacklist-Eintrag an und besteht aus folgenden zwei weiteren Kindelementen:</li> <ul> @@ -243,6 +254,28 @@ </tr> </table> + <h4><a name="konfigurationsparameter_allgemein_externaluris_whitelisting" id="konfigurationsparameter_allgemein_externaluris_whitelisting"></a>2.1.2.2 Whitelisting</h4> +<table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:Common/cfg:ForbidExternalUris</code></td> + </tr> + <tr> + <td> Gebrauch</td> + <td>Null mal bis einmal </td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>Mit diesem Element wird MOA SP bzw. SS mitgeteilt, dass das Auflösen externer URIs (inkl. localhost) zwar verboten ist, aber durch eine Whitelist entsprechende Ausnahmen angeben werden können. D.h. URIs, die sich auf dieser Whitelist befinden werden aufgelöst. Diese Whitelist kann in dem folgenden Kindelement angegeben werden:</p> + <ul> + <li>Element <code>cfg:WhiteListUri</code>: Dieses optionale und unbegrenzten Element gibt einen Whitelist-Eintrag an und besteht aus folgenden zwei weiteren Kindelementen:</li> + <ul> + <li>Element <code>cfg:IP</code>: Dieses Element vom Type <code>xs:string</code> gibt eine IP-Adresse (z.B.: 127.0.0.1) oder einen IP-Adress-Bereich (z.B.: 192.168) an. Bei Angabe einer IP-Adresse werden nur URIs mit exakt dieser IP-Adresse aufgelöst. Bei Angabe eines IP-Adress-Bereichs werden sämtliche URIs, die mit diesem IP-Bereich beginnen aufgelöst (z.B.: alle IPs im Bereich 192.168.0.0 bis 192.168.255.255)</li> + <li>Element <code>cfg:Port</code>: Dieses optionale Element vom Typ <code>xs:int</code> legt eine bestimmte Portnummer fest. Ist eine Portnummer angegeben werden alle URIs mit obiger IP-Adresse und dieser Portnummer aufgelöst. Ist Portnummer angegeben, sind alle Portnummern offen.</li> + </ul> + </ul></td> + </tr> +</table> <h2><a name="konfigurationsparameter_ss" id="konfigurationsparameter_ss"></a>2.2 Parameter für MOA SS</h2> <h3><a name="konfigurationsparameter_ss_keymodules" id="konfigurationsparameter_ss_keymodules"></a>2.2.1 Schlüsselspeicher</h3> <h4><a name="konfigurationsparameter_ss_keymodules_hardwarekeymodule" id="konfigurationsparameter_ss_keymodules_hardwarekeymodule"></a>2.2.1.1 Hardware-Schlüsselspeicher</h4> @@ -330,11 +363,11 @@ (vergleiche Abschnitte <a href="#konfigurationsparameter_ss_keymodules_hardwarekeymodule">2.2.1.1</a> bzw. <a href="#konfigurationsparameter_ss_keymodules_softwarekeymodule">2.2.1.2</a>) verwaltet werden. Die Schlüsselgruppe wird vom Kunden von MOA SS über einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen. </p> - <p>Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist +<p>Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schlüssel aus der Schlüsselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit mögliche Parallelisierung (mehrere private Schlüssel werden parallel für Anfragen, die auf die gleiche Schlüsselgruppe - referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern. </p> + referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern. </p> <p>Das Element <code>cfg:SignatureCreation/cfg:KeyGroup</code> hat folgenden Element-Inhalt:</p> <ul> <li>Element <code>cfg:Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enthält @@ -367,10 +400,11 @@ </li> </ul> </li> + <li>Element <code>cfg:DigestMethodAlgorithm</code>: Dieses optionale Element spezifiert einen Digest-Algorithmus, der für das Erstellen von XML-Signaturen mittels dieser Schlüsselgruppe verwendet werden soll. Der Default-Wert bzw. ein allfällig in Abschnitt "<a href="#konfigurationsparameter_ss_xmldsig">Parameter für XML-Signaturen</a>" definierter Wert, werden dadurch für diese Schlüsselgruppe überschrieben. Mögliche Werte sind dem Element <code>cfg:SignatureCreation/cfg:XMLDSig/cfg:DigestMethodAlgorithm</code> ebenfalls in Abschnitt "<a href="#konfigurationsparameter_ss_xmldsig">Parameter für XML-Signaturen</a>" zu entnehmen. </li> </ul> <p>Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> zu - erhalten, gehen Sie am besten wie folgt vor:</p> +</p> <ol> <li>Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schlüsselspeicher mit Hilfe der Konfigurationselemente <code>cfg:SignatureCreation/cfg:KeyModules/cfg:HardwareKeyModule</code> bzw. <code>cfg:SignatureCreation/cfg:KeyModules/cfg:SoftwareKeyModule</code>. </li> @@ -463,9 +497,9 @@ IssuerDN (RFC2253) : </tr> <tr> <td>Erläuterung</td> - <td><p> Als Inhalt des Elements kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> - <p> - <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 <br>http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments <br>http://www.w3.org/2001/10/xml-exc-c14n# <br>http://www.w3.org/2001/10/xml-exc-c14n#WithComments </pre> + <td><p>Als Inhalt des Elements kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> +<p> +<pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 <br>http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments <br>http://www.w3.org/2001/10/xml-exc-c14n# <br>http://www.w3.org/2001/10/xml-exc-c14n#WithComments </pre> <p></p> <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> <pre>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 </pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> </tr> @@ -481,13 +515,16 @@ IssuerDN (RFC2253) : </tr> <tr> <td>Erläuterung</td> - <td><p> Als Inhalt des Elements kann der Digest-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:Reference/dsig:DigestMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:</p> - <p> - <pre>http://www.w3.org/2000/09/xmldsig#sha1 -</pre> - <p></p> - <p>Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:</p> - <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> + <td><p>Als Inhalt des Elements kann der Digest-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von <code>dsig:Signature/dsig:SignedInfo/dsig:Reference/dsig:DigestMethod</code> aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden: +</p> + <pre>http://www.w3.org/2000/09/xmldsig#sha1 +http://www.w3.org/2000/09/xmldsig#sha256<br>http://www.w3.org/2000/09/xmldsig#sha384<br>http://www.w3.org/2000/09/xmldsig#sha512 </pre> + Wird das Element nicht angegeben, wird - abhängig von der konfigurierten XAdES-Version (siehe <a href="#konfigurationsparameter_ss_xades">XAdES-Version</a>)- folgender Wert als Default-Wert verwendet: + <p>Für XAdES Version 1.1.1:</p> + <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> + <p>Für XAdES Version 1.4.2:</p> +<pre>http://www.w3.org/2000/09/xmldsig#sha256</pre> +<p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> </tr> </table> <h3><a name="konfigurationsparameter_ss_createtransformsinfoprofile" id="konfigurationsparameter_ss_createtransformsinfoprofile"></a>2.2.5 Profil für Transformationen</h3> @@ -546,7 +583,7 @@ IssuerDN (RFC2253) : eingefügt werden soll, sowie allenfalls für die Verarbeitung des bestehenden XML-Dokuments notwendige Ergänzungsobjekte (z.B. ein XML-Schema für das validierende Parsen des bestehenden XML-Dokuments).</p> - <p><code>cfg:</code><code>CreateSignatureEnvironmentProfile</code> weist folgende obligatorische Kindelemene + <p><code>cfg:</code><code>CreateSignatureEnvironmentProfile</code> weist folgende obligatorische Kindelemente auf: </p> <ul> <li>Element<code> Id</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> enthält @@ -561,8 +598,27 @@ IssuerDN (RFC2253) : </ul></td> </tr> </table> + <h3><a name="konfigurationsparameter_ss_xades" id="konfigurationsparameter_ss_xades"></a>2.2.7 XAdES Version</h3> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:SignatureCreation/cfg:XAdES</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>Null mal bis einmal</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>MOA SS ermöglicht die Erstellung einer herkömmlichen XML-Signatur (das Attribut <code>SecurityLayerConformity</code> im <code>CreateXMLSignatureRequest</code> ist auf <code>false</code> gesetzt) oder einer XAdES-Signatur (<code>SecurityLayerConformity=true</code>) gemäß der <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20020831/core/Core.html#signaturerstellungNachXMLDSIGAntwort" target="_blank">Security-Layer Spezifikation V1.1</a>. Dieses Element gibt nun an welche XAdES-Version in diesem Fall eingesetzt werden soll. Bei Nichtvorhandensein des Elements wird die bisherige Standardversion XAdES 1.1.1 verwendet. Im folgenden Kindelement kann jedoch eine andere XAdES-Version konfiguriert werden. <code>cfg:</code><code>XAdES</code> weist daher folgendes obligatorische Kindelement + auf: </p> + <ul> + <li>Element<code> Version</code>: Dieses Element<code></code> vom Typ <code>xs:token</code> gibt die zu verwendende XAdES-Version an. Derzeit kann nur die Version 1.4.2 angegeben werden.</li> + </ul></td> + </tr> + </table> <h2><a name="konfigurationsparameter_sp" id="konfigurationsparameter_sp"></a>2.3 - Parameter für MOA SP </h2> +Parameter für MOA SP </h2> <h3> <a name="konfigurationsparameter_sp_certificatevalidation" id="konfigurationsparameter_sp_certificatevalidation"></a>2.3.1 Zertifikatsvalidierung</h3> <h4><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction"></a>2.3.1.1 @@ -1015,7 +1071,10 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. <td><p>Das Element <code>cfg:TSLConfiguration</code><code></code> legt die TSL Konfiguration fest, wenn Vertrauensprofile mit TSL Unterstützung konfiguriert sind. Das Element weist folgende Kind-Elemente auf: <ul> <ul> - <li>Element <code>cfg:UpdateSchedule</code>: Dieses Element legt fest wann und in welchem Intervall die EU-TSL erneut eingelesen werden soll. Das Element <code>cfg:UpdateSchedule</code> besteht dabei aus folgenden Kind-Elementen:</li> + <li>Element <code>cfg:EUTSLUrl</code>: Dieses optionale Element legt die URL zur EU-TSL fest.<br> + </li> + <em>Hinweis</em>: Wird kein <code>cfg:EUTSLUrl</code> Element angegeben so wird defaultmäßig <code>https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml</code> als EU-TSL URL herangezogen. + <li>Element <code>cfg:UpdateSchedule</code>: Dieses optionale Element legt fest wann und in welchem Intervall die EU-TSL erneut eingelesen werden soll. Das Element <code>cfg:UpdateSchedule</code> besteht dabei aus folgenden Kind-Elementen:</li> <ul> <li>Element <code>cfg:StartTime</code>: Legt eine Startzeit im Format hh:mm:ss fest. </li> <li>Element <code>cfg:Period</code>: Legt das Intervall (in Millisekunden) fest, in welchem die EU-TSL erneut eingelesen werden soll</li> @@ -1029,7 +1088,6 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis "trust" aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist. </ul> - <p><strong>Wichtig</strong>: Beim Tomcat-Start muss zusätzlich noch ein so genannten Hashcache Verzeichnis angegeben werden. Dies erfolgt mit dem Parameter iaik.xml.crypto.tsl.BinaryHashCache.DIR (siehe auch <a href="../install/install.html#webservice_basisinstallation_installation_tomcatstartstop">Starten und Stoppen von Tomcat</a>). </p> <p><em>Hinweis</em>: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td> </tr> @@ -1124,7 +1182,8 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. </tr> </table> <h1><a name="beispielkonfigurationen"></a>3 Beispielkonfigurationen</h1> - <h2><a name="beispielkonfigurationen_minss" id="beispielkonfigurationen_minss"></a>3.1 Minimale Konfiguration für MOA SS</h2> + <!--<p>TODO Update Konfigurations (Simple, Expert)</p>--> +<h2><a name="beispielkonfigurationen_minss" id="beispielkonfigurationen_minss"></a>3.1 Minimale Konfiguration für MOA SS</h2> <p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für den alleinigen Betrieb von MOA SS. Darin sind als Kinder des Wurzelelements <code>cfg:MOAConfiguration</code> folgende Konfigurationselemente enthalten:</p> @@ -1161,6 +1220,5 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. <h2><a name="beispielkonfigurationen_typspss" id="beispielkonfigurationen_typspss"></a>3.4 Typische Konfiguration für MOA SP/SS</h2> <p>Nachfolgend finden Sie eine typische zentrale Konfigurationsdatei mit Einträgen für den kombinierten Betrieb von MOA SP und SS. Diese Datei wird auch als Konfiguration von MOA SP und SS verwendet, die für das Ausführen der Beispiele des <a href="../usage/usage.html">Anwenderhandbuchs</a> notwendig ist.</p> <p><a href="../../../conf/moa-spss/spss.config.xml">Typische Konfiguration für MOA SP/SS</a> </p> - <p> </p> </body> </html> |