FAQs - Häufig gestellte Fragen

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - -

FAQs

- Zurück

-
- -

FAQs - Häufig gestellte Fragen

Fragen - Übersicht

Frage 1 - Beim Starten von MOA SPSS tritt folgende Exception auf: java.lang.ClassCastException: - iaik.asn1.structures.Name. Was kann der Fehler sein?

Frage 2 - Ich möchte gerne die CRL-Archivierung von MOA verwenden, möchte - aber eine andere als die in der Konfiguration erwähnte postgreSQL-Datenbank - verwenden. Geht das?

Frage 3 - Bei der Prüfung einer Signatur liefert die Prüfung des Zertifikatsstatus - den Code 1. Was kann der Fehler sein?

Frage 4 Ich möchte - ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell - in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert - das?

Frage 5 Ich möchte - MOA SS/SP in einer Umgebung betreiben, die einen Internet-Zugang nur - über einen Proxy erlaubt. Funktioniert das?

Frage 1

Q: Beim Starten von MOA SPSS tritt folgende Exception - auf: java.lang.ClassCastException: iaik.asn1.structures.Name. - Was kann der Fehler sein?

A: Auf Grund einer mangelhaften Implementierung - in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu - folgendem Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate() - einen Downcast vom Interface java.security.Principal auf die eigene - Implementierung, was zu einer ClassCastException führt, wenn der JCE-Provider - von Sun nicht an erster Stelle in der List der Security-Provider installiert - ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die - erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration - noch nicht installiert war. Wird dann von irgendeinem ClassLoader - der jar-Verifier benützt, wird PKCS7.getCertificate() verwendet, - und es kommt zu einer ClassCastException.

Wird MOA über die API-Schnittstelle verwendet, ist ein - Workaround die manuelle Installation des IAIK-JCE-Providers nach dem - Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration - aufgerufen wird. Bei Verwendung der Webservices ist die Möglichkeit - der statischen Konfiguration der JCE-Provider mittels Angabe in der - Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte - Workaround. Hierzu müssen die Einträge -

-  security.provider.1=sun.security.provider.Sun
-  security.provider.2=com.sun.rsajca.Provider  
-

- durch folgenden Eintrag ergänzt werden: -

-  security.provider.3=iaik.security.provider.IAIK
-

Frage 2

Q: Ich möchte gerne die CRL-Archivierung von - MOA verwenden, möchte aber eine andere als die in der Konfiguration - erwähnte postgreSQL-Datenbank verwenden. Geht das?

A: Ja, das ist möglich. Wenn Sie eine mySQL-Datenbank - verwenden möchten, sind folgende Maßnahmen zu treffen:

Laden - Sie den mySQL-JDBC-Connector herunter und fügen Sie das im - Download enthaltene jar-File mysql-connector-java-3.x.x-stable-bin.jar - zum Klassenpfad für MOA SPSS hinzu.

Geben Sie im MOA-Konfigurationsfile mit Hilfe des generischen - Konfigurationsparameters DataBaseArchiveParameter.JDBCUrl - eine gültige JDBC-URL zu Ihrer mySQL-Datenbank angeben. Hinweise - zum Format dieser URL für mySQL finden Sie hier. -

Wenn Sie eine andere Datenbank verwenden möchten, beispielsweise - Oracle, - gehen Sie sinngemäß wie oben vor und setzen zusätzlich - noch folgenden Schritt:

-
Geben Sie im MOA-Konfigurationsfile mit Hilfe des - generischen Konfigurationsparameters DataBaseArchiveParameter.JDBCDriverClass - den vollständig qualifizierten Klassennamen des JDBC-Treibers - an, der die Verbindung zu Ihrer Datenbank herstellt.
-

Frage 3

Q: Bei der Prüfung einer Signatur liefert die - Prüfung des Zertifikatsstatus den Code 1. Was kann der - Fehler sein?

A: Dieser Fehlercode bedeutet: Es konnte keine formal - korrekte Zertifikatskette vom Signatorzertifikat zu einem vertrauenswürdigen - Wurzelzertifikat konstruiert werden. Das kann grundsätzlich eine - der beiden folgenden Ursachen haben:

Keines der Zertifikate in der Kette vom Signatorzertifikat bis - zu einem selbstsignierten Wurzelzertifikat ist im anzuwendenden - TrustProfile enthalten.

Die Zertifikatskette konnte nicht bis zu einem im anzuwendenden - TrustProfile enthaltenen vertrauenswürdigen Zertifikat gebildet - werden.

Prüfen Sie also zunächst, ob sie im anzuwendenden - TrustProfile ein passendes vertrauenswürdiges Zertifikat - konfiguriert haben. Das kann beispielsweise das Zertifikat jener CA - sein, die das Signatorzertifikat ausgestellt hat, oder aber auch das - Zertifikat einer CA weiter oben in der Hierarchie des Zertifizierungsdiensteanbieters, - beispielsweise das selbstsignierte Wurzelzertifikat.

Wenn diese Prüfung das Problem nicht behebt, gelingt - des MOA SP vermutlich nicht, ein für die Bildung der Zertifikatskette - notwendiges Zertifikat zu lokalisieren. Mögliche Gründe sowie - Lösungsmöglichkeiten dafür sind:

Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette - besitzt zwar die Zertifikatserweiterung AuthorityInformationAccess - mit einem Hinweis auf das nächste Zertifikat der zu bildenden - Kette, das darin per URL referenzierte Zertifikat kann jedoch nicht - geladen werden. Prüfen Sie daher zunächst, ob MOA SP/SS - per HTTP oder LDAP Zugriffe nach außen tätigen darf.

Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette - besitzt keine Zertifikatserweiterung AuthorityInformationAccess - mit einem Hinweis auf das nächste Zertifikat der zu bildenden - Kette, und auch im internen Zertifikatsspeicher von MOA SP ist das - nächste Zertifikat nicht enthalten. Ist Ihnen das nächste - Zertifikat bekannt (z.B. durch manuellen Download von der Webseite - des Zertifizierungsdiensteanbieters), können Sie es manuell - in den internen Zertifikatsspeicher importieren. Eine Anleitung - dazu finden Sie hier.

Frage 4

Q: Ich möchte ein Zertifikat (z.B. einer Zwischenzertifizierungsstelle) - manuell in den internen Zertifikatsspeicher von MOA SP importieren. - Wie funktioniert das?

A: Sie können für diesen Zweck ein mit - MOA SP/SS mitgeliefertes Kommandozeilen-Tool verwenden, das Sie im Verzeichnis - $MOA_SPSS_INST/tools finden. Wechseln Sie zu diesem Verzeichnis - und rufen Sie die Script-Datei certtools.bat bzw. certtools.sh - (je nach Betriebssystem) auf. Achten Sie darauf, dass die Umgebungsvariable - $JAVA_HOME korrekt gesetzt ist. Die Syntax für dieses - Tool lautet:

-
certtool -add <cert> <store>
-

<cert> bezeichnet dabei Pfad und Dateiname - des zu importierenden X509-Zertifikats. Das Zertifikat muss DER-kodiert - vorliegen.

<store> bezeichnet den Pfad des internen - Zertifikatsspeichers von MOA SP. Wenn Sie nach der Installationsanleitung - vorgegangen sind, lautet dieser Pfad $CATALINA_HOME/conf/moa-spss/certstore.

Frage 5

Q: Ich möchte MOA SS/SP in einer Umgebung betreiben, - die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert - das?

A: Ja, zumindest für Zugriffe über HTTP. - Sie müssen dazu die nachfolgenden JAVA System-Properties setzen:

-
http.proxyHost=<proxyhost> - http.proxyPort=<proxyport> - http.nonProxyHosts="<exceptionhosts>"
-

<proxyhost> gibt den Namen oder die IP-Adresse des Proxies - an.

<proxyport> gibt den Port des Proxies an.

<exceptionhosts> enthält eine Liste von Rechnernamen, - die nicht über den Proxy laufen sollen. Jedenfalls müssen - sie hier localhost angeben. Einzelne Namen sind durch eine - Pipe (|) zu trennen. Bitte beachten Sie, dass IP-Addressen - nicht angegeben werden dürfen, sowie die verpflichtend zu verwendenen - Anführungszeichen.

- - - - - - - -

-
- - -