From d828ffa51c6915560094ebf70c6fc9d2dc8fbeff Mon Sep 17 00:00:00 2001 From: kstranacher_eGovL Date: Fri, 28 Dec 2012 11:11:55 +0000 Subject: Minor updates for TSL integration (documentation, default tsl working directory, tomcat startscript, example configuration with TSL support) git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1303 d688527b-c9ab-4aba-bd8d-4036d912da1d --- .../conf/moa-spss/sp.minimum_with_tsl.config.xml | 112 +++++++++++++++++++++ .../conf/moa-spss/tslworking/trust/eu/EU.der | Bin 0 -> 1440 bytes .../conf/moa-spss/tslworking/trust/eu/EU2.der | Bin 0 -> 1856 bytes spss/handbook/handbook/config/config.html | 42 +++++--- .../resources/data/deploy/tomcat/unix/moa-env.sh | 6 +- .../data/deploy/tomcat/win32/startTomcat.bat | 6 +- .../moa/spss/server/init/SystemInitializer.java | 30 +++--- spss/server/serverws/.classpath | 8 -- .../data/deploy/tomcat/win32/startTomcat.bat | 6 +- 9 files changed, 170 insertions(+), 40 deletions(-) create mode 100644 spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml create mode 100644 spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der create mode 100644 spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der diff --git a/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml new file mode 100644 index 000000000..255360088 --- /dev/null +++ b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml @@ -0,0 +1,112 @@ + + + + + + + + + + + + true + true + + + certstore + + + + + + pkix + + + Test-Signaturdienste + trustProfiles/test + + + TestTSL + trustProfiles/testTSL + + + + + + + + + + true + 0 + + CRL + OCSP + + + false + 365 + + + jdbc:url + fully.qualified.classname + + + + + + CN=A-Trust-Qual-01,OU=A-Trust-Qual-01,O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=A-Trust-Qual-02,OU=A-Trust-Qual-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=A-Trust-Qual-03,OU=A-Trust-Qual-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-01,OU=a-sign-Premium-Sig-01,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-02,OU=a-sign-Premium-Sig-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-03,OU=a-sign-Premium-Sig-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-premium-mobile-03,OU=a-sign-premium-mobile-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + E=a-cert@a-cert.at,CN=A-CERT GOVERNMENT,O=ARGE DATEN - Österreichische Gesellschaft für Datenschutz,L=Wien,S=Wien,C=AT + 12775 + + + + + + + + + 02:00:00 + 86400000 + + tslworking + + + + diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der new file mode 100644 index 000000000..abca57d50 Binary files /dev/null and b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der differ diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der new file mode 100644 index 000000000..1520644fc Binary files /dev/null and b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der differ diff --git a/spss/handbook/handbook/config/config.html b/spss/handbook/handbook/config/config.html index 6cb0d4a37..5561a3696 100644 --- a/spss/handbook/handbook/config/config.html +++ b/spss/handbook/handbook/config/config.html @@ -103,6 +103,7 @@
  1. Minimale Konfiguration für MOA SS
  2. Minimale Konfiguration für MOA SP
    3. +
  3. Minimale Konfiguration für MOA SP mit TSL Unterstützung
  4. Typische Konfiguration für MOA SP/SS
@@ -724,10 +725,10 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr gespeichert ist. Eine absolute URL muss als Protokoll-Teil file verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. -
  • Element cfg:EUTSL: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstüzung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.
    +
  • Element cfg:EUTSL: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstützung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.
    Zusätzliche kann ein optionales Kind-Element - cfg:CountrySelection angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Ländern herangezogen.
    - Wichtig: Es können zusätzlich manuelle Vertrauensanker via cfg:TrustAnchorsLocation konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenfalls nicht erfolgreich durchgeführt werden kann.
    + cfg:CountrySelection angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Länder herangezogen.
    + Wichtig: Es können zusätzlich manuelle Vertrauensanker via cfg:TrustAnchorsLocation konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenenfalls nicht erfolgreich durchgeführt werden kann.
    Wichtig: Bei aktivierter TSL-Unterstützung muss einen entsprechende TSL Konfiguration angegeben werden (siehe TSL Konfiguration).
    • @@ -1019,20 +1020,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
  • Element cfg:StartTime: Legt eine Startzeit im Format hh:mm:ss fest.
  • Element cfg:Period: Legt das Intervall (in Millisekunden) fest, in welchem die EU-TSL erneut eingelesen werden soll
    • - Hinweis: Wird kein cfg:UpdateSchedule Element angegeben so wird defaultmäßig 02:00.00 als Startzeit und 86400000 Millisekunden (=1 Tag) als Intervall herangezogen - -
  • Element cfg:WorkingDirectory: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.
    - Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis - "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdige Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
    • + Hinweis: Wird kein cfg:UpdateSchedule Element angegeben so wird defaultmäßig 02:00.00 als Startzeit und 86400000 Millisekunden (=1 Tag) als Intervall herangezogen
    + Hinweis: Der Import der Zertifikate von der EU-TSL benötigt (je nach Verbindung) ca. 90-180 Sekunden. Als Startzeit sollte daher eine Zeit gewählt werden, zu der die Auslastung gering ist. +
  • Element cfg:WorkingDirectory: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.
    +
    • + Hinweis: Wird kein cfg:WorkingDirectory Element angegeben so wird defaultmäßig tslworking als Arbeitsverzeichnis herangezogen.
    + + Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis + "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.

    Wichtig: Beim Tomcat-Start muss zusätzlich noch ein so genannten Hashcache Verzeichnis angegeben werden. Dies erfolgt mit dem Parameter iaik.xml.crypto.tsl.BinaryHashCache.DIR (siehe auch Starten und Stoppen von Tomcat).

    Hinweis: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe Vertrauensprofil)

    - -   -   - - + +

    2.3.2 Profil für Transformationen

    @@ -1144,7 +1145,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
  • Einstellungen betreffend die Widerrufsprüfung von Zertifikaten des Zertifikatspfades (cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking) .

    • Minimale Konfiguration für MOA SP

    -

    3.3 Typische Konfiguration für MOA SP/SS

    +

    3.3 Minimale Konfiguration für MOA SP mit TSL Unterstützung

    +

    Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für + den alleinigen Betrieb von MOA SP mit TSL Unterstützung. Darin sind als Kinder des Wurzelelements cfg:MOAConfiguration folgende + Konfigurationselemente enthalten:

    + +

    Minimale Konfiguration für MOA SP mit TSL Unterstützung

    + +

    3.4 Typische Konfiguration für MOA SP/SS

    Nachfolgend finden Sie eine typische zentrale Konfigurationsdatei mit Einträgen für den kombinierten Betrieb von MOA SP und SS. Diese Datei wird auch als Konfiguration von MOA SP und SS verwendet, die für das Ausführen der Beispiele des Anwenderhandbuchs notwendig ist.

    Typische Konfiguration für MOA SP/SS

     

    diff --git a/spss/server/serverlib/resources/data/deploy/tomcat/unix/moa-env.sh b/spss/server/serverlib/resources/data/deploy/tomcat/unix/moa-env.sh index 49d6723a3..6d5be35c0 100644 --- a/spss/server/serverlib/resources/data/deploy/tomcat/unix/moa-env.sh +++ b/spss/server/serverlib/resources/data/deploy/tomcat/unix/moa-env.sh @@ -2,11 +2,15 @@ MOA_START=`pwd` CONFIG_OPT=-Dmoa.spss.server.configuration=$MOA_START/conf/moa-spss/spss.config.xml LOGGING_OPT=-Dlog4j.configuration=file:$MOA_START/conf/moa-spss/log4j.properties + +# Hashcache Parameter für TSL Unterstuetzung bei MOA-SP +#PARAM_HASHCACHE=-Diaik.xml.crypto.tsl.BinaryHashCache.DIR=$MOA_START/conf/moa-spss/hashcache/ + # NODE_ID_OPT=-Dmoa.node-id=node1 # TRUST_STORE_OPT=-Djavax.net.ssl.trustStore=truststore.jks # TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit # TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks -export CATALINA_OPTS="$CONFIG_OPT $LOGGING_OPT $NODE_ID_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT" +export CATALINA_OPTS="$CONFIG_OPT $LOGGING_OPT $NODE_ID_OPT $PARAM_HASHCACHE $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT" echo CATALINA_OPTS=$CATALINA_OPTS diff --git a/spss/server/serverlib/resources/data/deploy/tomcat/win32/startTomcat.bat b/spss/server/serverlib/resources/data/deploy/tomcat/win32/startTomcat.bat index b7d740d12..729bddbf3 100644 --- a/spss/server/serverlib/resources/data/deploy/tomcat/win32/startTomcat.bat +++ b/spss/server/serverlib/resources/data/deploy/tomcat/win32/startTomcat.bat @@ -14,7 +14,11 @@ set MOA_SPSS_CFG_HOME=%CATALINA_HOME%\conf\moa-spss set PARAM_SPSSCONFIG=-Dmoa.spss.server.configuration=%MOA_SPSS_CFG_HOME%\spss.config.xml set PARAM_LOGGING=-Dlog4j.configuration=file:%MOA_SPSS_CFG_HOME%\log4j.properties set PARAM_NODEID=-Dmoa.node-id=Node1 -set PARAMS_MOA=%PARAM_SPSSCONFIG% %PARAM_LOGGING% %PARAM_NODEID% + +rem Hashcache Parameter für TSL Unterstuetzung bei MOA-SP +rem set PARAM_HASHCACHE=-Diaik.xml.crypto.tsl.BinaryHashCache.DIR=%MOA_SPSS_CFG_HOME%\hashcache\ + +set PARAMS_MOA=%PARAM_SPSSCONFIG% %PARAM_LOGGING% %PARAM_NODEID% %PARAM_HASHCACHE% rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit diff --git a/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/init/SystemInitializer.java b/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/init/SystemInitializer.java index d9e20fda9..c9b76dd7e 100644 --- a/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/init/SystemInitializer.java +++ b/spss/server/serverlib/src/main/java/at/gv/egovernment/moa/spss/server/init/SystemInitializer.java @@ -135,7 +135,7 @@ public class SystemInitializer { //start TSL Update TSLUpdaterTimerTask.tslconnector_ = tslconnector; - //TSLUpdaterTimerTask.update(); + TSLUpdaterTimerTask.update(); //initialize TSL Update Task initTSLUpdateTask(tslconfig); @@ -147,20 +147,20 @@ public class SystemInitializer { catch (TSLEngineDiedException e) { Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); } -// catch (TSLSearchException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } -// catch (CertStoreException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } catch (TrustStoreException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } catch (CertificateException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } catch (FileNotFoundException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } catch (IOException e) { -// Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); -// } + catch (TSLSearchException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } + catch (CertStoreException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } catch (TrustStoreException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } catch (CertificateException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } catch (FileNotFoundException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } catch (IOException e) { + Logger.fatal(new LogMsg(msg.getMessage("init.00", null)), e); + } // set IXSIL debug output IXSILInit.setPrintDebugLog( diff --git a/spss/server/serverws/.classpath b/spss/server/serverws/.classpath index bd0d802c7..a734c5415 100644 --- a/spss/server/serverws/.classpath +++ b/spss/server/serverws/.classpath @@ -3,7 +3,6 @@ - @@ -28,11 +27,4 @@ - - - - - - - \ No newline at end of file diff --git a/spss/server/serverws/data/deploy/tomcat/win32/startTomcat.bat b/spss/server/serverws/data/deploy/tomcat/win32/startTomcat.bat index b7d740d12..729bddbf3 100644 --- a/spss/server/serverws/data/deploy/tomcat/win32/startTomcat.bat +++ b/spss/server/serverws/data/deploy/tomcat/win32/startTomcat.bat @@ -14,7 +14,11 @@ set MOA_SPSS_CFG_HOME=%CATALINA_HOME%\conf\moa-spss set PARAM_SPSSCONFIG=-Dmoa.spss.server.configuration=%MOA_SPSS_CFG_HOME%\spss.config.xml set PARAM_LOGGING=-Dlog4j.configuration=file:%MOA_SPSS_CFG_HOME%\log4j.properties set PARAM_NODEID=-Dmoa.node-id=Node1 -set PARAMS_MOA=%PARAM_SPSSCONFIG% %PARAM_LOGGING% %PARAM_NODEID% + +rem Hashcache Parameter für TSL Unterstuetzung bei MOA-SP +rem set PARAM_HASHCACHE=-Diaik.xml.crypto.tsl.BinaryHashCache.DIR=%MOA_SPSS_CFG_HOME%\hashcache\ + +set PARAMS_MOA=%PARAM_SPSSCONFIG% %PARAM_LOGGING% %PARAM_NODEID% %PARAM_HASHCACHE% rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit -- cgit v1.2.3