From ece7d18cf35374bf4e26d041799cda8f791c89f8 Mon Sep 17 00:00:00 2001 From: gregor Date: Mon, 7 Jul 2003 10:58:37 +0000 Subject: Initial commit git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@2 d688527b-c9ab-4aba-bd8d-4036d912da1d --- spss.server/doc/moa_spss/sp-admin_2.htm | 536 ++++++++++++++++++++++++++++++++ 1 file changed, 536 insertions(+) create mode 100644 spss.server/doc/moa_spss/sp-admin_2.htm (limited to 'spss.server/doc/moa_spss/sp-admin_2.htm') diff --git a/spss.server/doc/moa_spss/sp-admin_2.htm b/spss.server/doc/moa_spss/sp-admin_2.htm new file mode 100644 index 000000000..147a8ba9c --- /dev/null +++ b/spss.server/doc/moa_spss/sp-admin_2.htm @@ -0,0 +1,536 @@ + + + MOA SP/SS-Administration + + + + + + + + + +
+ + +
+ Module für Online-Applikationen +
+
+  +
+
+Projekt moa  +
+
+ + + + + + +
+
MOA-SP/SS

+ + + +
+ Konfiguration
+ +
+ +

+ + +		 +
Konfiguration der SP/SS-Module
+ +
+

SP/SS-Konfigurationsdatei

+

+Die Konfiguration von MOA SP/SS wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema MOA-SPSS-Configuration-1.0.xsd entspricht, durchgeführt. +

+Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation in Tomcat beschrieben. +

+Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. +MOA-SPSSConfiguration.xml zeigt ein Beispiel +für eine umfassende Konfigurationsdatei. +

+Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem die Konfigurationsdatei +gespeichert ist, interpretiert. + +
+

+CanonicalizationAlgorithm
+Als Inhalt des Elements CanonicalizationAlgorithm kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML Signaturen verwendet werden soll und in der Signatur als Inhalt von /dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod aufscheint, spezifiziert werden. +

+Gültige Werte:
+http://www.w3.org/TR/2001/REC-xml-c14n-20010315
+http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
+http://www.w3.org/2001/10/xml-exc-c14n#
+http://www.w3.org/2001/10/xml-exc-c14n#WithComments
+ +
+Default-Wert:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315 +

+

+ +
+

+DigestMethodAlgorithm
+Als Inhalt des Elements DigestMethodAlgorithm kann der Digest-Algorithmus spe­zi­fi­ziert werden, der in der Signatur als Inhalt von dsig:Reference/dsig:DigestMethod aufscheint. +

+Gültige Werte:
http://www.w3.org/2000/09/xmldsig#sha1 +

+Default-Wert:
http://www.w3.org/2000/09/xmldsig#sha1 +

+

+ +
+

+GenericConfiguration
+Das Element GenericConfiguration ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute name und value. Die folgende Liste spezifiziert +

    +
  • gültige Werte für das name-Attribut,
    • +
  • eine Beschreibung
    • +
  • gültige Werte für das value-Attribut und
    • +
  • den Default-Wert für das value-Attribut.
    • +
+ + + + +
name: autoAddCertificate
+Gibt an, ob Zertifikate, die in der Signtur enthalten sind bzw. bei der Zertifikatspfaderstellung verwendet werden, +automatisch im Zertifikatsspeicher +(siehe Parameter DirectoryCertStoreParameters.RootDir) +gespeichert werden sollen (siehe auch Parameter +useAuthorityInfoAccess).
+
+value:
+Gültige Werte: true/false
+Default-Wert: true +
+ + + +
name: DirectoryCertStoreParameters.RootDir
+Gibt den Pfadnamen zum Verzeichnis an, das als Zertifikatsspeicher verwendet wird.
+
+value:
+Gültige Werte: Name eines Verzeichnisses, das Verzeichnis muss noch nicht existieren
+Default-Wert: certstore +
+ + + + +
name: useAuthorityInfoAccess
+Gibt an, ob die Zertifikatserweiterung AuthorityInformationAccess für die Zertifikatspfaderstellung verwendet +werden soll. Wird der Wert auf true gesetzt, dann setzt MOA auch autoAddCertificate automatisch +auf true und ignoriert den Wert aus der Konfigurationsdatei.
+
+value:
+Gültige Werte: true/false
+Default-Wert: true +
+ + + + +
name: checkRevocation
+Gibt ab, ob bei der Zertifikatsüberprüfung auch der Zertifikatsstatus überprüft werden soll. Der Zertifikatsstatus +wird mittels Certificate Revocation Lists (CRL) überprüft.
+
+value:
+Gültige Werte: true/false
+Default-Wert: false +
+ + + + +
name: maxRevocationAge
+Wenn der Zertifikatsstatus überprüft werden soll (siehe Parameter checkRevocation), +gibt dieser Parameter an, wann eine aktuelle Revozierungsinformation (CRL) geladen werden soll.
+
+value:
+Gültige Werte: +
    +
  • negativer Wert: bei jedem Zugriff auf Revozierungsinformation wird eine aktuelle Revozierungsinformation geladen
    • +
  • 0: eine neue Revozierungsinformation wird zu dem Zeitpunkt geladen, der im nextUpdate-Feld der CRL spezifiziert ist
    • +
  • positiver Wert: Zeitspanne in Millisekunden, die eine Revozierungsinformation ohne neuerliche Abfrage verwendet werden darf
    • +
+Default-Wert: 0 +
+ + + +
name: archiveRevocationInfo
+Gibt an, ob Revozierungsinformation archiviert werden soll +(siehe auch Parameter DataBaseArchiveParameter.JDBCUrl). +
+
+value:
+Gültige Werte: true/false
+Default-Wert: false +
+ + + + +
name: DataBaseArchiveParameter.JDBCUrl
+Gibt eine JDBC-URL zur Datenbank an, in der Revozierungsinformation archiviert werden soll. Wird dieser +Parameter nicht gesetzt, dann wertet MOA den Parameter archiveRevocationInfo nicht aus der Konfigurationsdatei +aus sondern setzt den Wert automatisch auf false. +
+Der genaue Aufbau der JDBC-URL ist abhängig von der verwendeten Datenbank. Im Fall von PostgreSQL kann folgende +URL verwendet werden: jdbc:postgresql://host/moadb?user=moauser&password=moapassword wobei +host, moadb, moauser und moapassword an die tatsächlich verwendete Datenbank angepasst werden muss.
+Die Verwendung von "&amp" ist erforderlich, da "&" einen Fehler bei der Validierung der +Konfigurationsdatei verursacht. +
+Die Archivdaten werden nur MOA-SPSS-intern benötigt und das Format ist daher für den Betrieb des Servers nicht relevant. +
+value:
Gültige Werte: String +
+ +

+ +
+

+HardwareKeyModule
+Mittels dieses Elements werden Hardware-Key-Module konfiguriert. HardwareKeyModule hat vier Attribute: +

+ + + + + + + + + + + + + + + + + + +
Attribut-NameAttribut-TypBeschreibung
idtokeneine vom Administrator gewählte Bezeichnung für das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.
namestringder Name des PKCS#11-Moduls; der Name enthält den Dateinamen der DLL (Windows) oder der Shared-Library +(Unix), die das PKCS#11-Modul implementiert; der Wert enthält entweder einen Dateinamen mit absoluter Pfadangabe bzw. +einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname relativ zum Suchpfad des Betriebssystems +interpretiert.
slotIDstringein spezifischer Slot des PKCS#11 HW Moduls; das Attribut ist optional, wird keine slotID spezifiziert, dann selektiert MOA SP/SS einen Slot für die Signaturerstellung.
userPINstringder PIN für die Aktivierung des privaten Schlüssels
+

+ +
+

+SoftwareKeyModule
+Mittels dieses Elements werden Software-Key-Module in Form von PKCS#12-Dateien konfiguriert. SoftwareKeyModule hat drei Attribute: +

+ + + + + + + + + + + + + + +
Attribut-NameAttribut-TypBeschreibung
idtokeneine vom Administrator gewählte Bezeichnung für das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.
filenamestringder Dateiname der PKCS#12-Datei; das Attribut enthält entweder einen absoluten Pfadnamen oder einen +Pfadnamen relativ zur MOA SP/SS Konfigurationsdatei.
passwordstringdas Passwort zur Aktivierung des privaten Schlüssels in der PKCS#12-Datei
+

+ +
+

+KeyGroup
+Eine KeyGroup ist eine Zusammenfassung mehreren Keys in eine Gruppe. Der durch das Attribut id definierte Bezeichner +dieser KeyGroup wird im CreateXMLSignatureRequest im Element KeyIdentifier verwendet. MOA-SS wählt einen Schlüssel +aus der KeyGroup für die Signaturerstellung aus. Durch die Zusammenfassung mehrere Schlüssel in eine Gruppe +kann die Verfügbarkeit und der Durchsatz der Signaturerstellung erhöht werden.
+Das Kind-Element Key identifiziert einen privaten Schlüssel. +Ein Schlüssel wird durch das Element KeyModuleID (siehe z.B. SoftwareKeyModule/@id), Issuer +und Seriennummer des zum Schlüssel gehörigen Zertifikats im Element KeyCertIssuerSerial bezeichnet. +

+Die Konfiguration des Elements Key erfolgt in einem 2-stufigen Prozess:
+

    +
  1. Zuerst werden die verwendeten PKCS#12-Dateien und PKCS#11-Module als Elemente HardwareKeyModule und SoftwareKeyModule in der Konfigurationsdatei erfasst
    2. +
  2. Beim Starten des MOA SP/SS-Servers werden die verfügbaren Schlüssel im Log-File aufgelistet: +

    +
    INFO | 10 12:56:43,023 | main |
+       Key ID=SWKeyModule1;
+       CN=IAIK Test CA,OU=IAIK Test CA,
+       OU=Insitute for Applied Information
+       Processing and Communications,
+       O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
+       1044289238331
+INFO | 10 12:56:43,023 | main |
+       Key ID=SWKeyModule2;
+       CN=IAIK Test CA,OU=IAIK Test CA,
+       OU=Insitute for Applied Information
+       Processing and Communications,
+       O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
+       1044289238331
+INFO | 10 12:56:43,023 | main |
+       Key ID=SWKeyModule3;
+       CN=IAIK ECDSA Test,OU=JavaSecurity,O=IAIK,C=AT;
+       68172
+INFO | 10 12:56:43,023 | main |
+       Key ID=SWKeyModule4;
+       CN=IAIK DSA Test CA,OU=JavaSecurity,O=IAIK,C=AT;
+       761791
    +
    3. +
  3. Für jeden verfügbaren Schlüssel werden die Inhalte der Elemente Key/KeyModuleID, Key/KeyCertIssuerSerial/X509IssuerName und Key/KeyCertIssuerSerial/X509SerialNumber dem Log-File entnommen und in die Konfigurationsdatei eingetragen
    4. +
  4. Nach einem neuerlichen Start von MOA SP/SS stehen die Key-Definitionen zur Verfügung
    5. +
+

+

Sind die zu den zu konfigurierenden Schlüsseln zugehörigen Zertifikate bekannt, +kann alternativ die Konfiguration in einem Schritt erfolgen, indem +die benötigten Informationen mit dem Skript certtool -info <certfilename> aus dem Zertifikat gelesen werden. +<certfilename> bezeichnet den Dateinamen eines X.509 Zertifikates in DER-Kodierung. +

+certtool ist im Verzeichnis $MOA_SPSS_INST/tools abgelegt.

+ +
+

+KeyGroupMapping
+Das Element KeyGroupMapping ordnet einem Client von MOA SS die ihm zur Verfügung stehenden KeyGroups zu, indem das +den Client repräsentierende TLS Client-Zertifikat (Element X509IssuerSerial) mit einer oder mehreren KeyGroups +assoziiert wird.

+Enthält das Element KeyGroupMapping kein Element X509IssuerSerial, dann können die in diesem Element definierten +KeyGroups von jedem Client (auch ohne TLS Client Authentisierung) verwendet werden. +

+ +
+

+ChainingModes
+Das Element ChainingModes definiert, ob bei der Zertifikatspfadüberprüfung das Kettenmodell ("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll. +

+Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll. +Mit dem Kind-Element TrustAnchor kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. +Ein Trust Anchor ist ein Zertifikat, das im TrustProfile spezifiziert ist (Erklärung siehe +TrustProfile). +Ein Trust Anchor wird durch den Typ dsig:X509IssuerSerialType spezifiziert. +Das für diesen Trust Anchor gültige Modell wird durch das Attribut mode spezifiziert. +

+Gültige Werte für die Attribute systemDefaultMode und mode sind "chaining" und "pkix". +

+ +
+

+CRLArchive
+Im Attribut duration wird spezifiziert, wie lange (in Tagen) gecachte CRLs archiviert werden müssen. +

+ +
+

+CRLDistributionPoint
+Das Element CRLDistributionPoint dient zum Spezifizieren von URLs, die auf CRLs von CAs (Zertifikatsaussteller) verweisen.

+Eine CA wird über das Element CAIssuerDN identifiziert, das den Issuer-DN der CA als String enthält. CRLDistributionPoint kann +das Element DistributionPoint einmal oder mehrmals enthalten. Das Element DistributionPoint hat zwei Attribute:
+

    +
  • der Wert des Attributs uri enthält den CRL Distribution Point; es werden die Protokolle HTTP, HTTPS und LDAP +unterstützt.
    • +
  • der Wert des optionalen Attributs reasonCodes (vom Typ NMTOKENS) enthält eine Liste von Reason Codes +(nach RFC 3280). Die über uri referenzierte CRL enthält nur CRL Einträge mit den spezifizierten Reason Codes. +Wird der Wert dieses Attributs nicht gesetzt dann kann die CRL Einträge mit allen reason codes enthalten.
    +Gültige Werte:
    +unspecified, keyCompromise, cACompromise, affiliationChanged, superseded, +cessationOfOperation, certificateHold, removeFromCRL, privilegeWithdrawn, aACompromise
    • +
+

+ +
+

+CreateSignatureEnvironmentProfile
+CreateTransformsInfoProfile
+VerifyTransformsInfoProfile
+SupplementProfile
+Jedes dieser Elemente enthält das Attribut id und das Attribut filename. Das Attribut id bezeichnet das Profil +wie es im CreateXMLSignatureRequest bzw. VerifyXMLSignatureRequest tatsächlich referenziert wird. + Das Attribut filename bezeichnet die Datei, die die +entsprechenden Elemente gemäß MOA SP/SS Schemas [MOA SP/SS Schema] beinhaltet. Die Datei beinhaltet wohlgeformtes +XML mit genau einem Element als Dokumentelement. +

+Die folgende Tabelle bezeichnet jene Elemente, die in den Dateien als Dokumentelement verwendet werden müssen: +

+ + + + + + + + + + + + + + +
ProfilnameWurzelelement
CreateSignatureEnvironmentProfileCreateSignatureEnvironmentProfile
CreateTransformsInfoProfileCreateTransformsInfoProfile
VerifyTransformsInfoProfileVerifyTransformsInfoProfile
SupplementProfileSupplementProfile
+ +

+

+ +
+

+TrustProfile
+Ein TrustProfile enthält Zertifikate, die als vertrauenswürdig betrachtet werden. Vertrauenswürdige Zertifikate können +selbst-signierte Wurzel-Zertifikate, Zertifikate von Zwischen CAs oder End-Entity Zertifikate sein. Für die +erfolgreiche Überprüfung eines Zertifikats muss (unter anderem) ein Zertifikatspfad zu einem Zertifikat aufgebaut +werden können, das in jenem Trustprofile enthalten ist, welches im Verify-Request bezeichnet ist.
+
+TrustProfile enthält zwei Attribute: +

    +
  • Das Attribut id spezifiziert die TrustProfileID wie sie im Message-Format von MOA-SP referenziert wird
    • +
  • Das Attribut uri spezifiziert eine URL, die ein Verzeichnis im lokalen Dateisystem referenziert +(nur das Schema file wird unterstützt). Alle für diese TrustProfileID vertrauenswürdigen +Zertifikate werden in diesem Verzeichnis gespeichert.
    • +
+

+ +
+

+ + +
+ + + +
+

 

+
+
+Beispiele +MinimalSPConfig.xml +



+


+Beispiele +MinimalSSConfig.xml +
+		 +

Minimale Konfigurations-Dateien

+ +
+MOA-SP
+Wird nur die Signaturprüfungs-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten:
+
    +
  • ein Element TrustProfile
    • +
+
+ +
+MOA-SS
+Wird nur die Server-Signatur-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten:
+
    +
  • ein Element HardwareKeyModule oder SoftwareKeyModule
    • +
  • ein Element KeyGroup mit einem Kind-Element Key
    • +
  • ein Element KeyGroupMapping mit einem Kind-Element
    KeyGroup
    • +
+
+ +
+

+ + +
+ + + +
+

 

+
+

+
+		 +

Änderung der Konfiguration während des Betriebs

+
+Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird (z.B. die Dateien, die die +Transformations-Profile enthalten), können während des laufenden Betriebes des MOA-Servers geändert werden. Der +Server selbst wird durch den Aufruf einer URL im Applikationskontext von MOA SP/SS +(siehe ConfigurationUpdate) +dazu veranlasst, die geänderte Konfigurati-on neu einzulesen. Im Falle einer fehlerhaften neuen Konfiguration +wird die ursprüngliche Konfiguration beibehalten. +

+
+
+

+ + + + + + +

 +
+
© 2003
+
+
+ + +
+ + \ No newline at end of file -- cgit v1.2.3