From 844ae3f1ed9c5c59293b85c29c9b0e29931d3ad8 Mon Sep 17 00:00:00 2001 From: gregor Date: Wed, 13 Apr 2005 07:24:38 +0000 Subject: =?UTF-8?q?Zwischensicherung.=20Generische=20Konfigurationsparamet?= =?UTF-8?q?er=20hinzugef=C3=BCgt.?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@287 d688527b-c9ab-4aba-bd8d-4036d912da1d --- spss.handbook/handbook/config/config.html | 181 +++++++++++++++++++++++++++--- 1 file changed, 168 insertions(+), 13 deletions(-) diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 4bd90a527..f7573a936 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -6,13 +6,14 @@ - - - - - -
Logo BKA
Open Source - für das E-Government
+ + + + + + +
Logo BKAOpen Source
+ für das E-Government		Logo MOA

MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2

Konfiguration

@@ -88,11 +89,10 @@ 

http://www.w3.org/TR/2001/REC-xml-c14n-20010315 
http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments 
http://www.w3.org/2001/10/xml-exc-c14n# 
http://www.w3.org/2001/10/xml-exc-c14n#WithComments

Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:

- 
http://www.w3.org/TR/2001/REC-xml-c14n-20010315
-

Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.

+ 
http://www.w3.org/TR/2001/REC-xml-c14n-20010315

Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.

-

2.2 Digest-Algorithmus

+

2.2 Digest-Algorithmus

@@ -110,11 +110,166 @@

Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:

- 
http://www.w3.org/2000/09/xmldsig#sha1
-

Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.

+ 
http://www.w3.org/2000/09/xmldsig#sha1

Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.

+ +
Name
+

2.3 Generic Configuration

+

Das Element cfg:GenericConfiguration ermöglicht die Bekanntgabe eines Name/Wert-Paares mittels seiner Attribute name und value. Das Element kann beliebig oft verwendet werden. Nachfolgend findet sich eine Erläuterung jener Namen (Attribut name), die MOA zu interpretieren weiß.

+

2.3.1 Parameter für die Zertifikatspfadbildung

+

2.3.1.1 Cachen von Zertifikaten

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name autoAddCertificates
Gebrauchoptional
Erläuterung

Gibt an, ob Zertifikate, die in einer zu prüfenden Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung Authority Information Access (siehe auch Parameter useAuthorityInfoAccess) aus dem Internet geladen werden, automatisch in den lokalen Zertifikatsspeicher hinzugefügt werden sollen (siehe auch Parameter DirectoryCertStoreParameters.RootDir).

+

Zulässige Werte für diesen Parameter sind true oder false.

+

Der Default-Wert lautet true.

+
+

2.3.1.2 Auswertung der Zertifikatserweiterung Authority Information Access

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name useAuthorityInfoAccess
Gebrauchoptional
Erläuterung

Gibt an, ob die Zertifikatserweiterung Authority Information Access für die Zertifikatspfaderstellung verwendet werden soll. Wird der Wert auf true gesetzt, dann setzt MOA auch den Parameter autoAddCertificate automatisch auf true und ignoriert den gegebenenfalls in der Konfigurationsdatei dafür gesetzten Wert.

+

Zulässige Werte für diesen Parameter sind true oder false.

+

Der Default-Wert lautet true.

+

2.3.1.3 Lokalisierung des Zertifikatsspeichers

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name DirectoryCertStoreParameters.RootDir
Gebrauchoptional
Erläuterung

Gibt ein Verzeichnis im lokalen Dateisystem an, das von MOA als lokaler Zertifikatsspeicher verwendet werden soll. + +

+

Zulässige Werte für diesen Parameter sind absolute oder relative Pfadangaben, z.B.:

+

+ 

C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/certstore
+ 
certstore

Der Default-Wert lautet:

+ 
certstore
+

2.3.2 Parameter für die Widerrufsprüfung

+

2.3.2.1 Aktivieren der Widerrufsprüfung

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name checkRevocation
Gebrauchoptional
Erläuterung

Gibt an, ob bei der Zertifikatsüberprüfung im Zuge einer Signaturprüfung auch der Zertifikatsstatus jedes einzelnen Zertifikats des gebildeten Zertifikatspfads überprüft werden soll.

+

Bitte beachten Sie: Die Widerrufsprüfung ist ein sehr wichtiger Schritt der Zertifikatsüberprüfung und somit der Signaturprüfung. Eine Deaktivierung sollte nur in begründeten Ausnahmefällen in Erwägung gezogen werden, z.B. für Testsituationen.

Zulässige Werte für diesen Parameter sind true oder false.

+

Der Default-Wert lautet true.

+

2.3.2.2 Maximales Alter der Widerrufsinformation

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name maxRevocationAge
Gebrauchoptional
Erläuterung

Gibt an, wie aktuell eine ggf. lokal gespeicherte Widerrufsinformation sein muss, damit sie von MOA SP als gültig angesehen wird. Ist die lokal gespeicherte Widerrufsinformation nicht aktuell genug, wird sie von MOA SP erneut aus dem Internet geladen.

+

Dieser Parameter wird nur ausgewertet, wenn die Widerrufsprüfung aktiviert ist (siehe Parameter checkRevocation).

+

Zulässige Werte für diesen Parameter sind ganze Zahlen:

+
    +
  • Ein beliebiger negativer Wert bedeutet, dass eine Widerrufsinformation jedes Mal, wenn sie benötigt wird, neu aus dem Internet geladen wird.
    • +
  • Der Wert 0 bedeutet, dass eine Widerrufsinformation dann neu geladen wird, wenn das Datum im Feld nextUpdate der entsprechenden Widerrufsliste bereits überschritten ist.
    • +
  • Ein positiver Wert gibt gibt die Zeitspanne in Millisekunden an, nach der eine ggf. vorhandene lokale Widerrufsinformation spätestens durch erneutes Laden aus dem Internet aktualisiert wird.
    • +

Der Default-Wert lautet 0.

+

2.3.2.3 Archivierung von Widerrufsinformationen

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name archiveRevocationInfo
Gebrauchoptional
Erläuterung

Gibt an, ob mittlerweile ungültig gewordene (i.e. historische) Widerrufsinformationen von MOA SP archiviert werden soll. Dieser Parameter wird nur dann ausgewertet, wenn gleichzeitig auch der Parameter + + + DataBaseArchiveParameter.JDBCUrl (siehe unten) angegeben wird.

+

Zulässige Werte für diesen Parameter sind true oder false.

+

Der Default-Wert lautet true.

+ + + + + + + + + + + + + +
cfg:GenericConfiguration/@name DataBaseArchiveParameter.JDBCUrl
Gebrauchoptional
Erläuterung

Gibt eine JDBC-URL zu jener Datenbank an, in der MOA historische Widerrufsinformationen archivieren soll. Wird dieser Paramter gesetzt, muss gleichzeitig auch der Parameter archiveRevocationInfo (siehe oben) auf den Wert true gesetzt werden.

+

Der genaue Aufbau der JDBC-URL ist abhängig von der verwendeten Datenbank. Im Fall von PostgreSQL kann folgende URL verwendet werden:

+ 
jdbc:postgresql://<host>/<moadb>?user=<moauser>&amp;password=<moapassword>
+

Die Platzhalter <host>, <moadb>, <moauser> und <moapassword> müssen dabei an die tatsächlich verwendete Datenbank angepasst werden.

+

Bitte beachten Sie: Die Kodierung des Zeichens "&" als "&amp;" ist erforderlich, da es andernfalls zu einem Validierungsfehler beim Parsen der XML-Konfigurationsdatei durch MOA kommen würde.

+

Bitte beachten Sie: MOA SP legt eigenständig eine passende Tabelle in der angegebenen Datenbank an und befüllt diese dann in weiterer Folge. Der in der JDBC-URL angegebene Benutzer muss mit den dazu passenden Rechten ausgestattet sein.

Für diesen Parameter existiert kein Default-Wert.

+ + + + + + + + + + + +
cfg:GenericConfiguration/@name DataBaseArchiveParameter.JDBCDriverClass
Gebrauchoptional
Erläuterung

Dieser Parameter kann verwendet werden, um MOA SP den Klassennamen des JDBC-Datenbanktreibers bekannt zu geben, der zur Ansprache der für die CRL-Archivierung zu verwendenden Datenbank benützt werden soll. Der Parameter wird nur dann ausgewertet, wenn der generische Konfigurationsparameter archiveRevocationInfo auf den Wert true gesetzt ist. +

+

Der Wert des Parameters muss den vollständig qualifizierten Java-Klassennamen des JDBC-Treibers enthalten. +

Bitte beachten Sie: Wird im Parameter DataBaseArchiveParameter.JDBCUrl entweder eine postgreSQL- oder eine mySQL-Datenbank referenziert, braucht dieser Paramter nicht angegeben zu werden; in diesen Standardfällen erfolgt eine automatische Zuordnung zur passenden JDBC-Treiberklasse.

+

Für diesen Parameter existiert kein Default-Wert.

-

 

3 Beispielkonfigurationen

 

-- cgit v1.2.3