diff options
Diffstat (limited to 'spss/handbook')
-rw-r--r-- | spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml | 112 | ||||
-rw-r--r-- | spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der | bin | 0 -> 1440 bytes | |||
-rw-r--r-- | spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der | bin | 0 -> 1856 bytes | |||
-rw-r--r-- | spss/handbook/handbook/config/config.html | 42 |
4 files changed, 140 insertions, 14 deletions
diff --git a/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml new file mode 100644 index 000000000..255360088 --- /dev/null +++ b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml @@ -0,0 +1,112 @@ +<?xml version="1.0" encoding="UTF-8"?>
+<!--MOA SP 1.5 Configuration File-->
+<cfg:MOAConfiguration xmlns:cfg="http://reference.e-government.gv.at/namespace/moaconfig/20021122#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
+<!-- Aus Sicherheitsgründen ist das Auflösen von externen URIs und localhost defaultmäßig deaktiviert -->
+<!-- Siehe auch MOA-SPSS Dokumentation - Konfiguration Abschnitt 2.1.2 Auflösen externer URIs -->
+<!-- Mittels cfg:PermitExternalUris kann das Auflösen externe URIs (optional mit Angabe einer Blacklist) aktiviert werden. -->
+<!-- Empfehlung: Bei aktiviertem Auflösen von externen URIs sollten sowohl localhost als auch der gesamte Intranetbereich in die Blacklist eingetragen werden. -->
+<!-- <cfg:Common>
+ <cfg:PermitExternalUris>
+ <cfg:BlackListUri>
+ <cfg:IP>192.168</cfg:IP>
+ </cfg:BlackListUri>
+ <cfg:BlackListUri>
+ <cfg:IP>127.0</cfg:IP>
+ </cfg:BlackListUri>
+ </cfg:PermitExternalUris>
+ </cfg:Common>-->
+ <cfg:SignatureVerification>
+ <cfg:CertificateValidation>
+ <cfg:PathConstruction>
+ <cfg:AutoAddCertificates>true</cfg:AutoAddCertificates>
+ <cfg:UseAuthorityInformationAccess>true</cfg:UseAuthorityInformationAccess>
+ <cfg:CertificateStore>
+ <cfg:DirectoryStore>
+ <cfg:Location>certstore</cfg:Location>
+ </cfg:DirectoryStore>
+ </cfg:CertificateStore>
+ </cfg:PathConstruction>
+ <cfg:PathValidation>
+ <cfg:ChainingMode>
+ <cfg:DefaultMode>pkix</cfg:DefaultMode>
+ </cfg:ChainingMode>
+ <cfg:TrustProfile>
+ <cfg:Id>Test-Signaturdienste</cfg:Id>
+ <cfg:TrustAnchorsLocation>trustProfiles/test</cfg:TrustAnchorsLocation>
+ </cfg:TrustProfile>
+ <cfg:TrustProfile>
+ <cfg:Id>TestTSL</cfg:Id>
+ <cfg:TrustAnchorsLocation>trustProfiles/testTSL</cfg:TrustAnchorsLocation>
+ <!-- aktiviere TSL-Unterstützung für dieses Vertrauensprofil -->
+ <cfg:EUTSL>
+ <!-- Optional kann eine Länderliste mit zweistelligen Länderkürzeln angegeben werden (d.h. nur die -->
+ <!-- Vertrauensanker der angegeben Länder werden importiert) -->
+ <!--<cfg:CountrySelection>AT,BE</cfg:CountrySelection>-->
+ </cfg:EUTSL>
+ </cfg:TrustProfile>
+ </cfg:PathValidation>
+ <cfg:RevocationChecking>
+ <cfg:EnableChecking>true</cfg:EnableChecking>
+ <cfg:MaxRevocationAge>0</cfg:MaxRevocationAge>
+ <cfg:ServiceOrder>
+ <cfg:Service>CRL</cfg:Service>
+ <cfg:Service>OCSP</cfg:Service>
+ </cfg:ServiceOrder>
+ <cfg:Archiving>
+ <cfg:EnableArchiving>false</cfg:EnableArchiving>
+ <cfg:ArchiveDuration>365</cfg:ArchiveDuration>
+ <cfg:Archive>
+ <cfg:DatabaseArchive>
+ <cfg:JDBCURL>jdbc:url</cfg:JDBCURL>
+ <cfg:JDBCDriverClassName>fully.qualified.classname</cfg:JDBCDriverClassName>
+ </cfg:DatabaseArchive>
+ </cfg:Archive>
+ </cfg:Archiving>
+ <cfg:CrlRetentionIntervals>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=A-Trust-Qual-01,OU=A-Trust-Qual-01,O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=A-Trust-Qual-02,OU=A-Trust-Qual-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=A-Trust-Qual-03,OU=A-Trust-Qual-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=a-sign-Premium-Sig-01,OU=a-sign-Premium-Sig-01,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=a-sign-Premium-Sig-02,OU=a-sign-Premium-Sig-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=a-sign-Premium-Sig-03,OU=a-sign-Premium-Sig-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>CN=a-sign-premium-mobile-03,OU=a-sign-premium-mobile-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ <cfg:CA>
+ <cfg:X509IssuerName>E=a-cert@a-cert.at,CN=A-CERT GOVERNMENT,O=ARGE DATEN - Österreichische Gesellschaft für Datenschutz,L=Wien,S=Wien,C=AT</cfg:X509IssuerName>
+ <cfg:Interval>12775</cfg:Interval>
+ </cfg:CA>
+ </cfg:CrlRetentionIntervals>
+ </cfg:RevocationChecking>
+ <!-- Angabe einer TSL Konfiguration-->
+ <!-- Wichtig: Das Arbeitsverzeichnis muss den Unterordner „trust“ aus der Beispielkonfiguration beinhalten. -->
+ <!-- Wichtig: Beim Tomcat-Start muss zusätzlich ein so genanntes Hashcache Verzeichnis angegeben werden. Siehe beispielhaftes Startskript für Windows -->
+ <cfg:TSLConfiguration>
+ <cfg:UpdateSchedule>
+ <cfg:StartTime>02:00:00</cfg:StartTime>
+ <cfg:Period>86400000</cfg:Period>
+ </cfg:UpdateSchedule>
+ <cfg:WorkingDirectory>tslworking</cfg:WorkingDirectory>
+ </cfg:TSLConfiguration>
+ </cfg:CertificateValidation>
+ </cfg:SignatureVerification>
+</cfg:MOAConfiguration>
diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der Binary files differnew file mode 100644 index 000000000..abca57d50 --- /dev/null +++ b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der Binary files differnew file mode 100644 index 000000000..1520644fc --- /dev/null +++ b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der diff --git a/spss/handbook/handbook/config/config.html b/spss/handbook/handbook/config/config.html index 6cb0d4a37..5561a3696 100644 --- a/spss/handbook/handbook/config/config.html +++ b/spss/handbook/handbook/config/config.html @@ -103,6 +103,7 @@ <ol> <li><a href="#beispielkonfigurationen_minss">Minimale Konfiguration für MOA SS</a></li> <li><a href="#beispielkonfigurationen_minsp">Minimale Konfiguration für MOA SP</a></li> + <li><a href="#beispielkonfigurationen_minsptsl">Minimale Konfiguration für MOA SP mit TSL Unterstützung</a></li> <li><a href="#beispielkonfigurationen_typspss">Typische Konfiguration für MOA SP/SS</a></li> </ol> </li> @@ -724,10 +725,10 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. </li> - <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstüzung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.<br> + <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstützung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.<br> Zusätzliche kann ein optionales Kind-Element - <code>cfg:CountrySelection</code> angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Ländern herangezogen.<br> - <strong>Wichtig</strong>: Es können zusätzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenfalls nicht erfolgreich durchgeführt werden kann.<br> + <code>cfg:CountrySelection</code> angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Länder herangezogen.<br> + <strong>Wichtig</strong>: Es können zusätzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenenfalls nicht erfolgreich durchgeführt werden kann.<br> <strong>Wichtig</strong>: Bei aktivierter TSL-Unterstützung muss einen entsprechende TSL Konfiguration angegeben werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a>).</li> </ul></td> </tr> @@ -1019,20 +1020,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. <li>Element <code>cfg:StartTime</code>: Legt eine Startzeit im Format hh:mm:ss fest. </li> <li>Element <code>cfg:Period</code>: Legt das Intervall (in Millisekunden) fest, in welchem die EU-TSL erneut eingelesen werden soll</li> </ul> - <em>Hinweis</em>: Wird kein <code>cfg:UpdateSchedule</code> Element angegeben so wird defaultmäßig 02:00.00 als Startzeit und 86400000 Millisekunden (=1 Tag) als Intervall herangezogen - - <li>Element <code>cfg:WorkingDirectory</code>: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.<br> - <strong>Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis - "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdige Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.</li> + <em>Hinweis</em>: Wird kein <code>cfg:UpdateSchedule</code> Element angegeben so wird defaultmäßig <code>02:00.00</code> als Startzeit und <code>86400000</code> Millisekunden (=1 Tag) als Intervall herangezogen<br> + <em>Hinweis</em>: Der Import der Zertifikate von der EU-TSL benötigt (je nach Verbindung) ca. 90-180 Sekunden. Als Startzeit sollte daher eine Zeit gewählt werden, zu der die Auslastung gering ist. +<li>Element <code>cfg:WorkingDirectory</code>: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.<br> + </li> + <em>Hinweis</em>: Wird kein <code>cfg:WorkingDirectory</code> Element angegeben so wird defaultmäßig <code>tslworking</code> als Arbeitsverzeichnis herangezogen.<br/> +<strong> + Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis + "trust" aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist. </ul> <p><strong>Wichtig</strong>: Beim Tomcat-Start muss zusätzlich noch ein so genannten Hashcache Verzeichnis angegeben werden. Dies erfolgt mit dem Parameter iaik.xml.crypto.tsl.BinaryHashCache.DIR (siehe auch <a href="../install/install.html#webservice_basisinstallation_installation_tomcatstartstop">Starten und Stoppen von Tomcat</a>). </p> <p><em>Hinweis</em>: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td> </tr> - <tr> - <td> </td> - <td> </td> - </tr> - </table> + +</table> <h3><a name="konfigurationsparameter_sp_verifytransformsinfoprofile" id="konfigurationsparameter_sp_verifytransformsinfoprofile"></a>2.3.2 Profil für Transformationen</h3> <table class="fixedWidth" border="1" cellpadding="2"> <tr> @@ -1144,7 +1145,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. <li>Einstellungen betreffend die Widerrufsprüfung von Zertifikaten des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking</code>) . </li> </ul> <p><a href="../../../conf/moa-spss/sp.minimum.config.xml">Minimale Konfiguration für MOA SP</a> </p> - <h2><a name="beispielkonfigurationen_typspss" id="beispielkonfigurationen_typspss"></a>3.3 Typische Konfiguration für MOA SP/SS</h2> + <h2><a name="beispielkonfigurationen_minsptsl" id="beispielkonfigurationen_minsptsl"></a>3.3 Minimale Konfiguration für MOA SP mit TSL Unterstützung</h2> +<p>Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für + den alleinigen Betrieb von MOA SP mit TSL Unterstützung. Darin sind als Kinder des Wurzelelements <code>cfg:MOAConfiguration</code> folgende + Konfigurationselemente enthalten:</p> + <ul> + <li>Einstellungen betreffend die Konstruktion des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction</code>);</li> + <li>Einstellungen betreffend die Validierung des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathValidation</code>), + unter anderem ein Vertrauensprofil mit TSL Unterstützung (<code>cfg:TrustProfile</code>);</li> + <li>Einstellungen betreffend die Widerrufsprüfung von Zertifikaten des Zertifikatspfades (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking</code>) .</li> + <li>Einstellungen betreffend der TSL Konfiguration (<code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:TSLConfiguration</code>) . </li> + </ul> + <p><a href="../../../conf/moa-spss/sp.minimum_with_tsl.config.xml">Minimale Konfiguration für MOA SP mit TSL Unterstützung</a> </p> + +<h2><a name="beispielkonfigurationen_typspss" id="beispielkonfigurationen_typspss"></a>3.4 Typische Konfiguration für MOA SP/SS</h2> <p>Nachfolgend finden Sie eine typische zentrale Konfigurationsdatei mit Einträgen für den kombinierten Betrieb von MOA SP und SS. Diese Datei wird auch als Konfiguration von MOA SP und SS verwendet, die für das Ausführen der Beispiele des <a href="../usage/usage.html">Anwenderhandbuchs</a> notwendig ist.</p> <p><a href="../../../conf/moa-spss/spss.config.xml">Typische Konfiguration für MOA SP/SS</a> </p> <p> </p> |