From 806500d31fd4f95f03788077fc7ee0c7f2bf128f Mon Sep 17 00:00:00 2001 From: gregor Date: Mon, 18 Apr 2005 12:00:00 +0000 Subject: =?UTF-8?q?Zwischensicherung.=20KeyGroup=20hinzugef=C3=BCgt.?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@298 d688527b-c9ab-4aba-bd8d-4036d912da1d --- spss.handbook/handbook/config/config.html | 60 ++++++++++++++++++++++++++++++- 1 file changed, 59 insertions(+), 1 deletion(-) (limited to 'spss.handbook') diff --git a/spss.handbook/handbook/config/config.html b/spss.handbook/handbook/config/config.html index 5201e548b..e7cb39d76 100644 --- a/spss.handbook/handbook/config/config.html +++ b/spss.handbook/handbook/config/config.html @@ -316,12 +316,70 @@

Das Element hat keinen Element-Inhalt.

+

2.6 Schlüsselgruppen

+ + + + + + + + + + + + + +
Namecfg:KeyGroup
Gebrauchoptional
Erläuterung

Mit diesem Element wird in MOA SS eine Schlüsselgruppe definiert. Eine Schlüsselgruppe ist eine Zusammenfassung von einem oder mehreren privaten Schlüsseln, die in Hardware- bzw. Softwareschlüsselspeichern (vergleiche Abschnitte 2.4 bzw. 2.5) verwaltet werden. Die Schlüsselgruppe wird vom Kunden von MOA SS über einen eindeutigen Bezeichner im Request zur Signaturerstellung angesprochen.

+

Sinn der Zusammenfassung von mehreren privaten Schlüsseln zu einer Schlüsselgruppe ist es, dass MOA SS selbst entscheidet, welcher konkrete Schlüssel aus der Schlüsselgruppe zur Erstellung der Signatur verwendet wird. Durch die somit mögliche Parallelisierung (mehrere private Schlüssel werden parallel für Anfragen, die auf die gleiche Schlüsselgruppe referenzieren) lässt sich der Durchsatz der erstellten Signaturen verbessern.

+

Das Element cfg:KeyGroup weist ein obligatorisches Attribut auf:

+
    +
  • Attribut id: Dieses Attribut vom Typ xs:token enthält einen frei wählbaren Identifikator für dieses Konfigurationselement, der innerhalb der XML-Konfigurationsdatei eindeutig sein muss. Mit Hilfe dieses Identifikators wird im Konfigurationselement cfg:KeyGroupMapping auf dieses Konfigurationselement referenziert. Weiters wird dieser Identifikator im Request zur Erstellung der Signatur verwendet, um die zu verwendende Schlüsselgruppe anzugeben.
  • +
+

Das Element cfg:KeyGroup hat folgenden Element-Inhalt:

+
    +
  • Element cfg:Key: Dieses Element muss zumindest einmal vorkommen. Jedes Element beschreibt einen der privaten Schlüssel, aus denen sich die Schlüsselgruppe zusammensetzt. Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: +
      +
    • Element cfg:KeyModuleID: Dieses Element kommt genau einmal vor. Mit ihm wird auf einen der konfigurierten Hardware- oder Software-Schlüsselspeicher referenziert. Sein Textinhalt vom Typ xs:token enthält den Identifikator des Hardware- oder Software-Schlüsselspeichers, so wie er in cfg:HardwareKeyModule/@id bzw. cfg:SoftwareKeyModule/@id festgelegt wurde.
    • +
    • Element cfg:KeyCertIssuerSerial: Dieses Element kommt ebenfalls genau einmal vor. Mit ihm wird ein privater Schlüssel innerhalb des mit cfg:KeyModuleID ausgewählten Schlüsselspeichers ausgewählt (sowohl Hardware- als auch Softwareschlüsselspeicher können ja prinzipiell mehr als nur einen einzigen privaten Schlüssel verwalten). Das Element weist keine Attribute auf und hat folgenden Element-Inhalt: +
        +
      • Element dsig:X509IssuerName: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:string enthält den Namen des Ausstellers des Zertifikats für den ausgewählten privaten Schlüssel.
      • +
      • Element dsig:X509SerialNumber: Dieses Element kommt genau einmal vor. Sein Textinhalt vom Typ xs:integer enthält die Seriennummer des Zertifikats für den ausgewählten privaten Schlüssel.
      • +
      +
    • +
    +
  • +
+

Um auf einfache Weise für alle in Ihren Schlüsselspeichern enthaltenen privaten Schlüssel die jeweiligen Werte für dsig:X509IssuerName und dsig:X509SerialNumber zu erhalten, gehen Sie am besten wie folgt vor:

+
    +
  1. Erfassen Sie in der zentralen Konfigurationsdatei alle Ihre Schlüsselspeicher mit Hilfe der Konfigurationselemente cfg:HardwareKeyModule bzw. cfg:SoftwareKeyModule.
  2. +
  3. Starten Sie nun - mit bewusst fehlenden cfg:KeyGroup Elementen - den MOA SP/SS Server. Stellen Sie dabei sicher, dass das Log-Level für den Logger moa.spss.server zumindest auf das Niveau info eingestellt ist (Informationen zur Konfiguration des Loggings von MOA SP/SS finden Sie hier). Im Log-File werden dann alle verfügbaren privaten Schlüssel an Hand der Werte dsig:X509IssuerName und dsig:X509SerialNumber aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:
    +
    INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key 
    ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7 +INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key + ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9
    INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
    ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8
    + Der Wert der Eigenschaft ID des Logging-Eintrags gliedert sich in drei Teile: +
      +
    1. Der erste Teil enthält den Identifikator des Hardware- bzw. Softwareschlüsselspeichers, so wie er im entsprechenden Konfigurationselement cfg:HardwareKeyModule bzw. cfg:SoftwareKeyModule erfasst wurde.
    2. +
    3. Der zweite Teil enthält nach dem ersten Semikolon den Namen des Ausstellers des Zertifikats für den privaten Schlüssel, so wie er in dsig:X509IssuerName benötigt wird.
    4. +
    5. Der dritte Teil enthält nach dem zweiten Semikolon die Seriennummer des Zertifikats für den privaten Schlüssel, so wie er in dsig:X509SerialNumber benötigt wird.
    6. +
    +
  4. +
  5. Erfassen Sie nun mit Hilfe der neu gewonnenen Informationen die Schlüsselgruppen, die in MOA SS zur Verfügung stehen sollen.
  6. +
+

Wenn Ihnen für einen privaten Schlüssel, den Sie in eine Schlüsselgruppe aufnehmen wollen, das Zertifikat bekannt ist und es in Form einer DER-kodierten Datei vorliegt, können Sie alternativ das Script certtool aus dem Verzeichnis tools im MOA-Installationsverzeichnis verwenden, um zu den Werten für dsig:X509IssuerName und dsig:X509SerialNumber zu kommen:

+
certtool -info <certfilename>
+

<certfilename> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte dsig:X509IssuerName und dsig:X509SerialNumber geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus:

+
SubjectDN (RFC2253): 
+  CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
+IssuerDN (RFC2253) : 
+  CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT
Serial Number : + 9
+

Die Werte für IssuerDN (RFC2253) sowie Serial Number entsprechen den Werten für dsig:X509IssuerName und dsig:X509SerialNumber.

3 Beispielkonfigurationen

 

-- cgit v1.2.3