From 1f635c15d7da2c6f4f1e1584567c0b3cfb6b0aa7 Mon Sep 17 00:00:00 2001
From: gregor Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für MOA SP/SS. Wenn nicht anders angegeben, beziehen sich die Erläuterungen sowohl auf die Konfiguration des Webservices als auch auf die Konfiguration von MOA SP/SS für den Einsatz als Klassenbibliothek. Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema MOA-SPSS-config-1.3.xsd entsprechen. Abschnitt 2 erläutert die Konfigurationsmöglichkeiten im Einzelnen. Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die
+ XML-Konfigurationsdatei. Wenn Sie von einer älteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende
+ Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verfügung, mit dem
+ Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren können. Dieses Werkzeug können Sie durch Ausführen des Scripts Der erste Parameter für das Script gibt also Pfad und Dateiname der bestehenden, alten Konfigurationsdatei
+ an, der zweite Parameter Pfad und Dateiname für die zu erzeugende Konfigurationsdatei im neuen Format (Hinweis:
+ Die Beispielpfade beziehen sich auf Windows-Betriebssysteme; für Unix-Betriebssysteme wählen Sie bitte sinngemäße
+ Pfade.). Die zentrale Konfigurationsdatei von MOA SP/SS wird der Java Virtual Machine, in der MOA SP/SS läuft, durch eine System Property mitgeteilt (wird beim Starten der Java Virtual Machine in der Form
-
@@ -75,6 +79,20 @@
1.1 Zentrale Konfigurationsdatei
1.1.1
+ Aktualisierung auf das Format von MOA SP/SS 1.3
+ configtool
aus dem Verzeichnis
+ tools
im MOA-Installationsverzeichnis verwenden:configtool c:\pfad\zur\konfiguration\config.alt.xml c:\pfad\zur\konfiguration\config.neu.xml
+ 1.2 Bekanntmachung der Konfigurationsdatei
-D<name>=<wert>
gemacht). Der Name der System Property lautet moa.spss.server.configuration
; als Wert der System Property ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml
@@ -88,7 +106,7 @@
log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/log4j.properties
Weitere Informationen zur Konfiguration des Loggings erhalten Sie in Abschnitt 2.1.3 des Installationshandbuchs.
-
Nachfolgend werden die verfügbaren Konfigurationsparameter der zentralen Konfigurationsdatei im Detail erläutert. Die Reihenfolge der Abhandlung entspricht der Reihenfolge des vorgeschriebenen Auftretens in der Konfigurationsdatei. Für beispielhafte Konfigurationsdateien siehe Abschnitt 3.
Muss der Wert eines Konfigurationsparameters eine URL oder eine Pfadangabe sein, und wird als konkreter Wert eine relative URL bzw. ein relativer Pfad angegeben, so wird diese Angabe relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.
@@ -134,7 +152,7 @@ Als Inhalt des Elements kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod
aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315-
http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
http://www.w3.org/2001/10/xml-exc-c14n#
http://www.w3.org/2001/10/xml-exc-c14n#WithComments
Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:
+Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315
Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.
dsig:X509IssuerName
: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:string
enthält den Namen des Ausstellers des Zertifikats für den ausgewählten privaten Schlüssel.dsig:X509SerialNumber
: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:integer
enthält die Seriennummer des Zertifikats für den ausgewählten privaten Schlüssel. Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für dsig:X509IssuerName
und dsig:X509SerialNumber
zu erhalten, gehen Sie am besten wie folgt vor:
Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script certtool
aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für dsig:X509IssuerName
und dsig:X509SerialNumber
zu kommen:
Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script certtool
aus dem Verzeichnis tools
im MOA-Installationsverzeichnis verwenden, um zu den Werten für dsig:X509IssuerName
und dsig:X509SerialNumber
zu kommen:
certtool -info <certfilename>
<certfilename>
enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte dsig:X509IssuerName
und dsig:X509SerialNumber
geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus:
SubjectDN (RFC2253): CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT diff --git a/spss.handbook/handbook/faq/faq.html b/spss.handbook/handbook/faq/faq.html index 43653d44b..0d45cdcbf 100644 --- a/spss.handbook/handbook/faq/faq.html +++ b/spss.handbook/handbook/faq/faq.html @@ -43,6 +43,8 @@
- Ich möchte gerne die CRL-Archivierung von MOA verwenden, möchte aber eine andere als die in der Konfiguration erwähnte postgreSQL-Datenbank verwenden. Geht das? [Zur Antwort]
- Ich möchte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das? [Zur Antwort]
+- Meine bestehende Konfigurationsdatei funktioniert mit MOA SP/SS 1.3 oder höher nicht mehr. Was ist passiert? + [Zur Antwort]
Verwendung
@@ -91,6 +93,17 @@ http.nonProxyHosts="<exceptionhosts>"
<cert>
bezeichnet dabei Pfad und Dateiname des zu importierenden X509-Zertifikats. Das Zertifikat muss DER-kodiert vorliegen.
<store>
bezeichnet den Pfad des internen Zertifikatsspeichers von MOA SP. Wenn Sie nach der Installationsanleitung vorgegangen sind, lautet dieser Pfad $CATALINA_HOME/conf/moa-spss/certstore
.
Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die + XML-Konfigurationsdatei.
+Wenn Sie von einer älteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende + Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verfügung, mit + dem Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren können.
+Informationen zur Verwendung des Werkzeugs finden Sie in Abschnitt 1.1.1 des Konfigurationshandbuchs.
+javax.net.ssl.trustStorePassword
: Passwort für den Truststore (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll). javax.net.ssl.trustStoreType
: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll). Je nach verwendetem Keystore-Typ muss jks
(Java Key Store) oder pkcs12
(PKCS#12-Datei) angegeben werden.Das Verzeichnis $MOA_SPSS_INST/tomcat/win32
enthält Script-Dateien zum Starten und Stoppen von Tomcat. Vor der erstmaligen Verwendung der Scripts müssen in den ersten Zeilen die Umgebungsvariablen JAVA_HOME
(Basisverzeichnis des eingesetzten J2SE SDK) und CATALINA_HOME
(Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden. Evtl. müssen Sie auch noch die in den Script-Dateien gesetzten, in Abschnitt 2.1.2.3 besprochenen System Properties anpassen.
Zunächst müssen die in Abschnitt 2.1.2.3 besprochenen System Properties mit Hilfe der Umgebungsvariablen CATALINA_OPTS
gesetzt sein. Die Datei $MOA_SPSS_INST/tomcat/unix/moa-env.sh
enthält ein Beispiel dafür. Weiters müssen noch die Umgebungsvariablen JAVA_HOME
(Basisverzeichnis des eingesetzten J2SE SDK) und CATALINA_HOME
(Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden.
Nun kann Tomcat aus seinem Basisverzeichnis mit
@@ -227,7 +227,7 @@ In diesem Fall geben dieWARN
bzw. ERROR
Log-Meldungen
Damit dies funktioniert, muss in der Konfiguration von Tomcat ein spezieller Benutzer sowie eine spezielle Benutzerrolle eingerichtet werden (vergleiche Abschnitt 2.1.2.2.3).
Das MOA SP/SS Webservice verwendet Jakarta Log4j für die Ausgabe von Log-Meldungen am Bildschirm bzw. in Log-Dateien. Log4j bietet zahlreiche Konfigurationsmöglichkeiten, die ausführlich im Jakarta Log4j Handbuch beschrieben sind. Unter anderem gibt es die Möglichkeit, folgende Einstellungen vorzunehmen: -
Das verwendete Log-Level (DEBUG
, INFO
, WARN
, ERROR
, FATAL
);
WARN
bzw. ERROR
Log-Meldungen
Das Aussehen der Log-Einträge.
Das MOA SP/SS Webservice verwendet folgende Log-Hierarchien:
WARN
bzw. ERROR
Log-Meldungen
iaik.server
für alle Log-Meldungen aus den SIC/IAIK Kryptographie-Modulen.
Eine für MOA SP/SS passende Konfigurationsdatei für Log4j finden Sie hier. Wird diese Datei als Logging-Konfiguration verwendet, so werden alle Log-Meldungen sowohl in die Konsole, als auch in die Datei moa-spss.log
geschrieben.
Anhand einer konkreten Log-Meldung wird das Format der MOA SP/SS Log-Meldungen erläutert:
@@ -287,7 +287,7 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> MSG=Aufruf von Adresse=127.0.0.1 INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> MSG=Client-Zertifikat nicht verfügbar -Die dritte Log-Meldung besagt, dass für die Abarbeitung dieser Anfrage kein Client-Zertifikat verfügbar ist (entweder, weil die Anfrage über HTTP eingelangt ist, oder weil die SSL Client-Authentisierung nicht eingeschaltet ist). Bei erfolgreicher SSL Client-Authentisierung, gibt beispielsweise folgende Log-Meldung Informationen über das Client-Zertifikat aus: +
Die dritte Log-Meldung besagt, dass für die Abarbeitung dieser Anfrage kein Client-Zertifikat verfügbar ist (entweder, weil die Anfrage über HTTP eingelangt ist, oder weil die SSL Client-Authentisierung nicht eingeschaltet ist). Bei erfolgreicher SSL Client-Authentisierung, gibt beispielsweise folgende Log-Meldung Informationen über das Client-Zertifikat aus:
INFO | 12 13:58:08,772 | Thread-10 | TID=1045054687159-2 NID=<null> MSG=Client-Zertifikat: Subject=CN=Testuser, OU=MOA, O=BRZ, L=Vienna, ST=Vienna, C=AT, Serial=1.039.104.204, Issuer=CN=TestCA, OU=MOA, O=BRZ, L=Vienna, ST=Vienna, C=AT@@ -339,7 +339,26 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null>
jdbc:postgresql://host/moadb?user=moa&password=moapass
Die Zeichen jdbc:postgresql://
sind unveränderliche Bestandteile einer PostgreSQL JDBC-URL. host
gibt den Rechner an, auf dem PostgreSQL läuft. moadb
identifiziert den Namen der Datenbank. Über die Parameter user=
und pass=
werden Benutzername und Passwort für den DB-User bekanntgegeben.
Zum Archivieren von CRLs müssen in der MOA SP/SS Konfigurationsdatei die generischen Konfigurationsparameter archiveRevocationInfo
auf true
und DataBaseArchiveParameter.JDBCUrl
auf eine gültige JDBC-URL gesetzt werden. Da es sich hierbei um einen Eintrag in eine XML-Datei handelt, muss das Zeichen &
in der in Abschnitt 2.2.2.1.1 gezeigten JDBC-URL durch die Zeichenfolge &
ersetzt werden. Vergleiche auch Abschnitt 2.3.2.3 im Konfigurationshandbuch.
Zum Archivieren von CRLs müssen in der MOA SP/SS Konfigurationsdatei die Kinder des Elements cfg:MOAConfiguration/cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:Archiving
entsprechend
+ konfiguriert werden:
cfg:EnableArchiving
muss auf den Wert true
gesetzt sein;cfg:ArchiveDuration
muss als nichtnegative Ganzzahl die maximale Archivierungsdauer in Tagen enthalten;cfg:Archive
muss genau ein Element cfg:DatabaseArchive
enthalten, das wiederum aus zwei Elementen
+ bestehen muss:
+ cfg:JDBCURL
muss eine gültige JDBC-URL enthalten, mit der auf die Datenbank zur Archivierung
+ zugegriffen werden kann (Hinweis: da es sich hierbei um einen Eintrag
+ in eine XML-Datei handelt, muss das Zeichen &
in der in Abschnitt 2.2.2.1.1 gezeigten
+ JDBC-URL
+ durch die Zeichenfolge &
ersetzt werden.);cfg:JDBCDriverClassName
muss den vollständig qualifizierten Java-Klassennamen des JDBC-Treibers
+ enthalten. Vergleiche auch Abschnitt 2.3.2.3 im + Konfigurationshandbuch.
Für das Logging in eine PostgreSQL Datenbank mittels Jakarta Log4j muss zunächst eine Tabelle für die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden:
create table spss_log (log_time timestamp, log_level varchar(5), log_msg text);@@ -445,27 +464,27 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null>