From 1f635c15d7da2c6f4f1e1584567c0b3cfb6b0aa7 Mon Sep 17 00:00:00 2001 From: gregor Date: Thu, 25 Aug 2005 14:23:18 +0000 Subject: Bug 271: Hinweis auf ConfigTool (Update Konfigurationsdatei) in Konfigurationshandbuch und FAQ integriert. Abschnitt zur Konfiguration des CRL-Archivs im Installationshandbuch aktualisiert. git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@471 d688527b-c9ab-4aba-bd8d-4036d912da1d --- spss.handbook/handbook/config/config.html | 34 +++++++++++++++++----- spss.handbook/handbook/faq/faq.html | 13 +++++++++ spss.handbook/handbook/install/install.html | 45 ++++++++++++++++++++--------- 3 files changed, 71 insertions(+), 21 deletions(-) (limited to 'spss.handbook') diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index ab036d966..5441dca0b 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -23,7 +23,11 @@

  • Übersicht

      -
    1. Zentrale Konfigurationsdatei
      2. +
    2. Zentrale Konfigurationsdatei +
        +
      1. Aktualisierung auf das Format von MOA SP/SS 1.3
        2. +
      +
    3. Bekanntmachung der Konfigurationsdatei
        @@ -75,6 +79,20 @@

        Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für MOA SP/SS. Wenn nicht anders angegeben, beziehen sich die Erläuterungen sowohl auf die Konfiguration des Webservices als auch auf die Konfiguration von MOA SP/SS für den Einsatz als Klassenbibliothek.

        1.1 Zentrale Konfigurationsdatei

        Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema MOA-SPSS-config-1.3.xsd entsprechen. Abschnitt 2 erläutert die Konfigurationsmöglichkeiten im Einzelnen.

        +

        1.1.1 + Aktualisierung auf das Format von MOA SP/SS 1.3

        +

        Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die + XML-Konfigurationsdatei.

        +

        Wenn Sie von einer älteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende + Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verfügung, mit dem + Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren können.

        +

        Dieses Werkzeug können Sie durch Ausführen des Scripts configtool aus dem Verzeichnis + tools im MOA-Installationsverzeichnis verwenden:

        + 
        configtool c:\pfad\zur\konfiguration\config.alt.xml c:\pfad\zur\konfiguration\config.neu.xml
        +

        Der erste Parameter für das Script gibt also Pfad und Dateiname der bestehenden, alten Konfigurationsdatei + an, der zweite Parameter Pfad und Dateiname für die zu erzeugende Konfigurationsdatei im neuen Format (Hinweis: + Die Beispielpfade beziehen sich auf Windows-Betriebssysteme; für Unix-Betriebssysteme wählen Sie bitte sinngemäße + Pfade.).

        1.2 Bekanntmachung der Konfigurationsdatei

        Die zentrale Konfigurationsdatei von MOA SP/SS wird der Java Virtual Machine, in der MOA SP/SS läuft, durch eine System Property mitgeteilt (wird beim Starten der Java Virtual Machine in der Form -D<name>=<wert> gemacht). Der Name der System Property lautet moa.spss.server.configuration; als Wert der System Property ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.

        moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml 
@@ -88,7 +106,7 @@
   
        
   
        log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/log4j.properties
        
   Weitere Informationen zur Konfiguration des Loggings erhalten Sie in Abschnitt 2.1.3 des Installationshandbuchs.
-
        
+
        
   
        2 Konfigurationsparameter
        
   
        Nachfolgend werden die verfügbaren Konfigurationsparameter der zentralen Konfigurationsdatei im Detail erläutert. Die Reihenfolge der Abhandlung entspricht der Reihenfolge des vorgeschriebenen Auftretens in der Konfigurationsdatei. Für beispielhafte Konfigurationsdateien siehe Abschnitt 3. 
        
   
        Muss der Wert eines Konfigurationsparameters eine URL oder eine Pfadangabe sein, und wird als konkreter Wert eine relative URL bzw. ein relativer Pfad angegeben, so wird diese Angabe relativ zum Pfad jenes Verzeichnisses interpretiert, in dem die zentrale Konfigurationsdatei gespeichert ist.
        
@@ -134,7 +152,7 @@
       
         Als Inhalt des Elements  kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML-Signaturen verwendet werden soll und in der Signatur als Inhalt von dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod aufscheint, spezifiziert werden. Folgende Werte dürfen verwendet werden:
        
         
        
         
        http://www.w3.org/TR/2001/REC-xml-c14n-20010315 
        http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments 
        http://www.w3.org/2001/10/xml-exc-c14n# 
        http://www.w3.org/2001/10/xml-exc-c14n#WithComments  
        
-        
                
        Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:
        
+        
                
        Wird das Element nicht angegeben, wird folgender Wert als Default-Wert verwendet:
        
       
        http://www.w3.org/TR/2001/REC-xml-c14n-20010315  
        	  
        Für die genaue Bedeutung der Werte siehe die Spezifikation für XML-Signaturen.
        
     
   
@@ -438,10 +456,10 @@
               
          
                 
        • Element dsig:X509IssuerName: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:string enthält den Namen des Ausstellers des Zertifikats für den ausgewählten privaten Schlüssel.
          • 
                 
        • Element dsig:X509SerialNumber: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:integer enthält die Seriennummer des Zertifikats für den ausgewählten privaten Schlüssel. 
          • 
-                
        
-              
-            
-          
+              
+            
+          
+        
       
       
        Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für dsig:X509IssuerName und dsig:X509SerialNumber zu erhalten, gehen Sie am besten wie folgt vor:
        
       
          
@@ -459,7 +477,7 @@ INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
         
         
        1. Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in MOA SS zur Verfügung stehen sollen. 
          2. 
         
        
-      
        Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script certtool aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für dsig:X509IssuerName und dsig:X509SerialNumber zu kommen: 
        
+      
        Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script certtool aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für dsig:X509IssuerName und dsig:X509SerialNumber zu kommen: 
        
       
        certtool -info <certfilename>
              
        <certfilename> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte dsig:X509IssuerName und dsig:X509SerialNumber geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: 
        
       
        SubjectDN (RFC2253): 
   CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
diff --git a/spss.handbook/handbook/faq/faq.html b/spss.handbook/handbook/faq/faq.html
index 43653d44b..0d45cdcbf 100644
--- a/spss.handbook/handbook/faq/faq.html
+++ b/spss.handbook/handbook/faq/faq.html
@@ -43,6 +43,8 @@
   
          
     
        1. Ich möchte gerne die CRL-Archivierung von MOA verwenden, möchte aber eine andere als die in der Konfiguration erwähnte postgreSQL-Datenbank verwenden. Geht das? [Zur Antwort]
          2. 
     
        2. Ich möchte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das? [Zur Antwort]
          3. 
+    
        3. Meine bestehende Konfigurationsdatei funktioniert mit MOA SP/SS 1.3 oder höher nicht mehr. Was ist passiert?
+      [Zur Antwort] 
          4. 
   
        
   
        Verwendung
        
   
          
@@ -91,6 +93,17 @@ http.nonProxyHosts="<exceptionhosts>"
        
       
        <cert> bezeichnet dabei Pfad und Dateiname des zu importierenden X509-Zertifikats. Das Zertifikat muss DER-kodiert vorliegen.
        
       
        <store> bezeichnet den Pfad des internen Zertifikatsspeichers von MOA SP. Wenn Sie nach der Installationsanleitung vorgegangen sind, lautet dieser Pfad $CATALINA_HOME/conf/moa-spss/certstore.
        
     
+	
      1. 
+	  
        
+	    Meine bestehende Konfigurationsdatei
+        funktioniert mit MOA SP/SS 1.3 oder höher nicht mehr. Was ist passiert?
        
+	  
        Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die
+      XML-Konfigurationsdatei. 
        
+	  
        Wenn Sie von einer älteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende
+	    Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verfügung, mit
+	    dem Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren können.
        
+		
        Informationen zur Verwendung des Werkzeugs finden Sie in Abschnitt 1.1.1 des Konfigurationshandbuchs. 
        
+	
        2.

      Verwendung

        diff --git a/spss.handbook/handbook/install/install.html b/spss.handbook/handbook/install/install.html index 9758e5545..59407b24b 100644 --- a/spss.handbook/handbook/install/install.html +++ b/spss.handbook/handbook/install/install.html @@ -188,13 +188,13 @@
      1. javax.net.ssl.trustStorePassword: Passwort für den Truststore (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll).
      2. javax.net.ssl.trustStoreType: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll). Je nach verwendetem Keystore-Typ muss jks (Java Key Store) oder pkcs12 (PKCS#12-Datei) angegeben werden.
        3. - +

        2.1.2.4 Starten und Stoppen von Tomcat

        2.1.2.4.1 Unter Windows

        Das Verzeichnis $MOA_SPSS_INST/tomcat/win32 enthält Script-Dateien zum Starten und Stoppen von Tomcat. Vor der erstmaligen Verwendung der Scripts müssen in den ersten Zeilen die Umgebungsvariablen JAVA_HOME (Basisverzeichnis des eingesetzten J2SE SDK) und CATALINA_HOME (Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden. Evtl. müssen Sie auch noch die in den Script-Dateien gesetzten, in Abschnitt 2.1.2.3 besprochenen System Properties anpassen.

        -
        +
        2.1.2.4.2 Unter Unix

        Zunächst müssen die in Abschnitt 2.1.2.3 besprochenen System Properties mit Hilfe der Umgebungsvariablen CATALINA_OPTS gesetzt sein. Die Datei $MOA_SPSS_INST/tomcat/unix/moa-env.sh enthält ein Beispiel dafür. Weiters müssen noch die Umgebungsvariablen JAVA_HOME (Basisverzeichnis des eingesetzten J2SE SDK) und CATALINA_HOME (Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden.

        Nun kann Tomcat aus seinem Basisverzeichnis mit

        @@ -227,7 +227,7 @@ In diesem Fall geben die WARN bzw. ERROR Log-Meldungen

        Damit dies funktioniert, muss in der Konfiguration von Tomcat ein spezieller Benutzer sowie eine spezielle Benutzerrolle eingerichtet werden (vergleiche Abschnitt 2.1.2.2.3).

        2.1.3 Logging

        Das MOA SP/SS Webservice verwendet Jakarta Log4j für die Ausgabe von Log-Meldungen am Bildschirm bzw. in Log-Dateien. Log4j bietet zahlreiche Konfigurationsmöglichkeiten, die ausführlich im Jakarta Log4j Handbuch beschrieben sind. Unter anderem gibt es die Möglichkeit, folgende Einstellungen vorzunehmen: -

          +

          • Das verwendete Log-Level (DEBUG, INFO, WARN, ERROR, FATAL);

            • @@ -237,7 +237,7 @@ In diesem Fall geben die WARN bzw. ERROR Log-Meldungen

          • Das Aussehen der Log-Einträge.

            • -
          +

        Das MOA SP/SS Webservice verwendet folgende Log-Hierarchien:

        • @@ -246,7 +246,7 @@ In diesem Fall geben die WARN bzw. ERROR Log-Meldungen

        • iaik.server für alle Log-Meldungen aus den SIC/IAIK Kryptographie-Modulen.

          • -
        +

        Eine für MOA SP/SS passende Konfigurationsdatei für Log4j finden Sie hier. Wird diese Datei als Logging-Konfiguration verwendet, so werden alle Log-Meldungen sowohl in die Konsole, als auch in die Datei moa-spss.log geschrieben.

        2.1.3.1 Format der Log-Meldungen

        Anhand einer konkreten Log-Meldung wird das Format der MOA SP/SS Log-Meldungen erläutert:

        @@ -287,7 +287,7 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> MSG=Aufruf von Adresse=127.0.0.1 INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> MSG=Client-Zertifikat nicht verfügbar -

        Die dritte Log-Meldung besagt, dass für die Abarbeitung dieser Anfrage kein Client-Zertifikat verfügbar ist (entweder, weil die Anfrage über HTTP eingelangt ist, oder weil die SSL Client-Authentisierung nicht eingeschaltet ist). Bei erfolgreicher SSL Client-Authentisierung, gibt beispielsweise folgende Log-Meldung Informationen über das Client-Zertifikat aus: +

        Die dritte Log-Meldung besagt, dass für die Abarbeitung dieser Anfrage kein Client-Zertifikat verfügbar ist (entweder, weil die Anfrage über HTTP eingelangt ist, oder weil die SSL Client-Authentisierung nicht eingeschaltet ist). Bei erfolgreicher SSL Client-Authentisierung, gibt beispielsweise folgende Log-Meldung Informationen über das Client-Zertifikat aus: 

        INFO | 12 13:58:08,772 | Thread-10 | TID=1045054687159-2 NID=<null> 
   MSG=Client-Zertifikat: Subject=CN=Testuser, OU=MOA, O=BRZ, L=Vienna, ST=Vienna, C=AT, 
   Serial=1.039.104.204, Issuer=CN=TestCA, OU=MOA, O=BRZ, L=Vienna, ST=Vienna, C=AT
        @@ -339,7 +339,26 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> 
         jdbc:postgresql://host/moadb?user=moa&password=moapass

        Die Zeichen jdbc:postgresql:// sind unveränderliche Bestandteile einer PostgreSQL JDBC-URL. host gibt den Rechner an, auf dem PostgreSQL läuft. moadb identifiziert den Namen der Datenbank. Über die Parameter user= und pass= werden Benutzername und Passwort für den DB-User bekanntgegeben.

        2.2.2.1.2 Archivierung von CRLs
        -

        Zum Archivieren von CRLs müssen in der MOA SP/SS Konfigurationsdatei die generischen Konfigurationsparameter archiveRevocationInfo auf true und DataBaseArchiveParameter.JDBCUrl auf eine gültige JDBC-URL gesetzt werden. Da es sich hierbei um einen Eintrag in eine XML-Datei handelt, muss das Zeichen & in der in Abschnitt 2.2.2.1.1 gezeigten JDBC-URL durch die Zeichenfolge &amp; ersetzt werden. Vergleiche auch Abschnitt 2.3.2.3 im Konfigurationshandbuch.

        +

        Zum Archivieren von CRLs müssen in der MOA SP/SS Konfigurationsdatei die Kinder des Elements cfg:MOAConfiguration/cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:Archiving entsprechend + konfiguriert werden:

        +
          +
        • cfg:EnableArchiving muss auf den Wert true gesetzt sein;
          • +
        • cfg:ArchiveDuration muss als nichtnegative Ganzzahl die maximale Archivierungsdauer in Tagen enthalten;
          • +
        • cfg:Archive muss genau ein Element cfg:DatabaseArchive enthalten, das wiederum aus zwei Elementen + bestehen muss: +
            +
          • cfg:JDBCURL muss eine gültige JDBC-URL enthalten, mit der auf die Datenbank zur Archivierung + zugegriffen werden kann (Hinweis: da es sich hierbei um einen Eintrag + in eine XML-Datei handelt, muss das Zeichen & in der in Abschnitt 2.2.2.1.1 gezeigten + JDBC-URL + durch die Zeichenfolge &amp; ersetzt werden.);
            • +
          • cfg:JDBCDriverClassName muss den vollständig qualifizierten Java-Klassennamen des JDBC-Treibers + enthalten.
            • +
          +
          • +
        +

        Vergleiche auch Abschnitt 2.3.2.3 im + Konfigurationshandbuch.

        2.2.2.1.3 Logging

        Für das Logging in eine PostgreSQL Datenbank mittels Jakarta Log4j muss zunächst eine Tabelle für die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden:

         create table spss_log (log_time timestamp, log_level varchar(5), log_msg text);
        @@ -445,27 +464,27 @@ INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=<null> Name Beschreibung - + Apache Tomcat 4.1.x Servlet-Container des Apache Jakarta Projekts in der Version 4.1.x - + J2SE 1.3.1 SDK/JRE Java 2 Standard Edition in der Version 1.3.1 (Software Development Kit bzw. Java Runtime Environment) - + J2SE 1.4.2 SDK/JRE Java 2 Standard Edition in der Version 1.4.2 (Software Development Kit bzw. Java Runtime Environment) - + J2SE 5.0 SDK/JRE Java 2 Standard Edition in der Version 5.0 (Software Development Kit bzw. Java Runtime Environment) - + Jakarta Log4J Logging Framework des Apache Jakarta Projekts - + -- cgit v1.2.3