From d123069e6db15c988f94790298d3dfb61bd87546 Mon Sep 17 00:00:00 2001 From: gregor Date: Mon, 18 Apr 2005 12:42:00 +0000 Subject: =?UTF-8?q?Zwischensicherung.=20KeyGroupMapping=20und=20ChainingMo?= =?UTF-8?q?des=20hinzugef=C3=BCgt.?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@299 d688527b-c9ab-4aba-bd8d-4036d912da1d --- spss.handbook/handbook/config/config.html | 51 +++++++++++++++++++++++++++++++ 1 file changed, 51 insertions(+) diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index e7cb39d76..6577aa78c 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -380,6 +380,57 @@ IssuerDN (RFC2253) :

Die Werte für IssuerDN (RFC2253) sowie Serial Number entsprechen den Werten für dsig:X509IssuerName und dsig:X509SerialNumber.

+

2.7 Zuordnung von Schlüsselgruppen zu Benutzern

+ + + + + + + + + + + + + +
Namecfg:KeyGroupMapping
Gebrauchoptional
Erläuterung

Das Element cfg:KeyGroupMapping ordnet einem Benutzer von MOA SS die ihm zur Verfügung stehenden Schlüsselgruppen zu, indem das den Benutzer repräsentierende SSL-Clientzertifikat mit einer oder mehreren Schlüsselgruppen assoziiert wird.

+

Das Element weist keine Attribute auf und hat folgenden Element-Inhalt:

+
    +
  • Element cfg:X509IssuerSerial: Dieses Element bezeichnet auf eindeutige Weise das den Benutzer repräsentierende SSL-Clientzertifikat. Der Aufbau des Elements enspricht dem Aufbau des Elements cfg:KeyCertIssuerSerial in Abschnitt 2.6. Um zu den Werten für Ausstellername und Seriennummer des SSL-Clientzertifikats zu kommen, können Sie auch hier das Script certtool (vergleiche Abschnitt 2.6) verwenden.
  • +
  • Element cfg:KeyGroup: Dieses Element kommt so oft vor, wie Schlüsselgruppen einem bestimmten SSL-Clientzertifikat zugeordnet werden sollen, mindestens jedoch einmal. Es weist ein obligatorisches Attribut id vom Typ xs:token auf, dessen Wert den Identifikator der Schlüsselgruppe enthält, so wie er in cfg:KeyGroup/@id festgelegt wurde. Das Element hat keinen Element-Inhalt.
  • +
+

Bitte beachten Sie: Für maximal ein Konfigurationselement cfg:KeyGroupMapping kann cfg:X509IssuerSerial auch weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Benutzern von MOA SS gleichermaßen zur Verfügung.

+

2.8 Gültigkeitsmodell für die Zertifikatskettenprüfung +

+ + + + + + + + + + + + + +
Namecfg:ChainingModes
Gebrauchoptional
Erläuterung

Das Element cfg:ChainingModes legt fest, ob MOA SP für die Prüfung der Gültigkeit einer konstruierten Zertifikatskette das Kettenmodell aus ISIS-MTT oder das Schalenmodell aus dem PKIX RFC 3280 verwenden soll.

+

Das Element cfg:ChainingModes weist ein optionales Attribut auf:

+
    +
  • Attribut systemDefaultMode: Dieses Attribut gibt das Default-Modell für die Prüfung der Gültigkeit einer konstruierten Zertifikatskette an. Gültige Werte sind chaining (Kettenmodell) oder pkix (Schalenmodell). Wird das Attribut nicht angegeben, verwendet MOA SP als Default-Modell das Schalenmodell.
  • +
+

Das Element cfg:ChainingModes hat folgenden Element-Inhalt:

+
    +
  • Element cfg:TrustAnchor: Dieses Element kann beliebig oft (auch gar nicht) verwendet werden, um für bestimmte Vertrauensanker (vergleiche Abschnitt TBD) Ausnahmen vom Default-Modell vorzugeben.
    + Das Element weist ein obligatorisches Attribut auf: +
      +
    • Attribut mode: Dieses Attribut gibt jenes Modell an, das von MOA SP für die Prüfung von konstruierten Zertifikatsketten zu verwenden ist, die im mittels cfg:TrustAnchor/dsig:X509IssuerName und cfg:TrustAnchor/dsig:X509SerialNumber angegebenen Vertrauensanker münden.
    • +
    +

    Der Element-Inhalt von cfg:TrustAnchor entspricht jenem von cfg:KeyCertIssuerSerial in Abschnitt 2.6. Um zu den Werten für Ausstellername und Seriennummer des Vertrauensankers zu kommen, können Sie auch hier das Script certtool (vergleiche Abschnitt 2.6) verwenden.

    +
  • +

Bitte beachten Sie: Für maximal ein Konfigurationselement cfg:KeyGroupMapping kann cfg:X509IssuerSerial auch weggelassen werden. Die darin enthaltenen Schlüsselgruppen stehen dann allen Benutzern von MOA SS gleichermaßen zur Verfügung.

3 Beispielkonfigurationen

 

-- cgit v1.2.3