MOA SP/SS-Anwendung

+Die Module Signaturprüfung (SP) und Serversignatur (SS) sind als plattformunabhängige Module ausgelegt, die über ein +Webservice bzw. ein Java-API verwendet werden können. +

+Dieses Handbuch beschreibt die Verwendung der SP/SS-Module anhand einfacher exemplarischer Anwendungen: +

HTTPClientExample.java
Aufruf des Webservice über HTTP
HTTPSClientExampleServerAuth.java
Aufruf des Webservice über eine TLS-Verbindung mit serverseitiger Authentisierung
HTTPSClientExampleClientAuth.java
Aufruf des Webservice über eine TLS-Verbindung mit client- und serverseitiger Authentisierung
APIClientExample.java
Aufruf des API

+Weiters werden folgende Beispiel-Requests beschrieben: +

einfache Requests für die Erstellung und Überprüfung einer XML-Signatur
umfassende Requests für die Erstellung und Überprüfung einer XML-Signatur
ein Request für die Überprüfung einer CMS-Signatur

+ +

+ + +

+ + + +

+ +

Voraussetzungen

+Die folgende Liste enthält die erforderlichen Java-Bibliotheken, um die Beispielprogramme auszuführen. +Die angeführten Versionsnummern bezeichnen jene Versionen dieser Java-Bibliotheken, mit denen die +Beispielprogramme getestet wurden. +

+ + + + + + + + + + + + + + + + + + + +

Java-Bibliothek	Version	Bemerkung
JDK	1.3+	Java Development Kit
Xerces XML Parser	2.0.2+	nicht nötig wenn JDK 1.4 verwendet wird + Download: xml.apache.org/xerces2-j
AXIS Framework	1.0+	Download: xml.apache.org/axis
JSSE	1.0.3+	wenn eine SSL Verbindung verwendet wird, nicht nötig wenn JDK 1.4 verwendet wird Download: java.sun.com/products/jsse
Servlet API	2.3+	nicht nötig wenn AXIS 1.1 verwendet wird +Download: java.sun.com/products/servlet

+

+ + + +

+ + + +

Beispiel-Programme

Im folgenden werden vier Beispiele für Client-Applikationen beschrieben:

HTTPClientExample
+Aufruf des Webservice über HTTP
HTTPSClientExampleServerAuth
+Aufruf des Webservice über eine TLS-Verbindung mit serverseitiger Authentisierung
HTTPSClientExampleClientAuth
+Aufruf des Webservice über eine TLS-Verbindung mit client- und serverseitiger Authentisierung
APIClientExample
+Aufruf des API

+

+ + + +

+ + + +

+Beispiel:
+example_request.xml
+HTTPClientExample
+

+

Beispiel HTTPClientExample

+1. Einlesen des XML-Request aus einer Datei
+

+    FileInputStream inputStream = 
+        new FileInputStream("example_request.xml");
+

+ +2. Aufbau der DOM-Struktur
+Erstellen der BuilderFactory für den Parser +

+    DocumentBuilderFactory factory = 
+        DocumentBuilderFactory.newInstance();
+

+Namespaces müssen im Request definiert sein, darum +

+    factory.setNamespaceAware(true);
+

+Einen neuen Builder instanzieren +

+    DocumentBuilder builder = 
+        factory.newDocumentBuilder();
+

+XML-Datei einlesen und parsen +

+    Document root_request = 
+        builder.parse(inputStream);
+

+

+ +3. AXIS Service instanzieren
+Service erstellen. SERVICE_QNAME ist entweder SignatureCreation oder SignatureVerification. +

+    Service service = 
+        ServiceFactory.newInstance().
+            createService(SERVICE_QNAME);
+

+Call Object erstellen +

+    Call call = service.createCall();
+

+Ein SOAP Body Objekt erzeugen und mit dem Request aus der Datei füllen +

+    SOAPBodyElement body = 
+        new SOAPBodyElement(root_request.
+            getDocumentElement());
+    SOAPBodyElement[] params = 
+        new SOAPBodyElement[] {body};
+

+Serviceendpunkt einstellen. URL zum Server mit dem Webservice z.b. http://localhost:8080/moa-spss/services/SignatureCreation. +

+    call.setTargetEndpointAddress(ENDPOINT);
+

+

+ +4. Service aufrufen
+Request durchführen (Parameter werden als Array von SOAPBodyElement-Objekten übergeben) +

+    Vector responses = (Vector)call.invoke(params);
+

+Response auslesen +

+    SOAPBodyElement response = 
+        (SOAPBodyElement) responses.get(0);
+

+Response-Document auslesen +

+    Document root_response = response.getAsDocument();
+

+

+ +5. Exceptions behandeln
+Folgende Exceptions können auftreten und müssen bei der Dokumentverarbeitung +behandelt werden:
+ + + + + + + + + + + + + + + + + +

Exception	Beschreibung
FileNotFoundException	Datei kann nicht gefunden werden
IOException	Datei kann nicht gelesen werden
ParserConfigurationException	Parsereinstellungen nicht korrekt
xxSAXException	Fehler beim Parsen (z.b. XML-Fehler in der Eingabedatei)
ServiceException	Fehler beim Durchführen des AXIS Request
RemoteException	Probleme mit der Verbindung

+ +

+

+ + + +

+ + + +

+Beispiel:
+example_request.xml
+HTTPSClientExample 1
+

+

Beispiel HTTPSClientExampleServerAuth

+Zusätzlich zu HTTPClientExample:

+Erst werden die Konstanten für die Systemproperties gesetzt +

+    handler = "java.protocol.handler.pkgs";
+    trustStore = "javax.net.ssl.trustStore";
+    trustStorePassword = 
+      "javax.net.ssl.trustStorePassword";
+

+Hinzufügen des SSL-Providers in das Systemobjekt Security +

+    Security.addProvider(
+      new com.sun.net.ssl.internal.ssl.Provider());
+

+Setzen der Systemproperties für den SSL-Provider +

+    System.setProperty(
+      handler,"com.sun.net.ssl.internal.www.protocol");
+    System.setProperty(
+      trustStore, "client.keystore");
+    System.setProperty(trustStorePassword, "changeit");
+

+ +Danach muß nur noch der Endpunkt umgestellt werden von ENDPOINT zu SECURE_ENDPOINT +

+    "http://localhost:8080/moa-spss/
+            services/SignatureCreation"
+

+wird zu +

+    "https://localhost:8443/moa-spss/
+            services/SignatureCreation"
+

+AXIS erkennt das es sich um eine sichere Verbindung handelt und initialisert die Verbindung über einen SecureSocket. +

+

+ + + +

+ + + +

+Beispiel:
+example_request.xml
+HTTPSClientExample 2
+

+

Beispiel HTTPSClientExampleClientAuth

+Zusätzlich zu HTTPSClientExampleServerAuth:

+Für Clientauthorisierung kommen noch folgende Properties hinzu +

+    keyStore = "javax.net.ssl.keyStore";
+    keyStorePassword = "javax.net.ssl.keyStorePassword";
+    System.setProperty(
+        keyStore, "client.keystore");
+    System.setProperty(keyStorePassword, "changeit");
+

+

+ +

+ + + +

+Beispiel:
+APIClientExample
+

+

Beispiel APIClientExample

+Folgende VM-Properties müssen gesetzt sein um das API Beispiel +ausführen zu können.

+ + + + + + + + + + + + + +

moa.spss.server.configuration
Pfad zur Konfiguration von MOA-SPSS	Beispiel C:\moa\ConfigurationTest.xml
log4j.configuration
Pfad zu einer gültigen Log4J Konfiguration	Beispiel file:/C:/moa/log4j.properties

+
+Serverfunktionshandler instanzieren +

	SPSSFactory spf = 
+		SPSSFactory.getInstance();

+ +Signaturedaten in ein Contentobjekt einbinden +

	byte[]data = 
+		"Dies sind Testdaten".getBytes("UTF-8");
+	ByteArrayInputStream bis = 
+		new ByteArrayInputStream(data);
+	Content cont = 
+		spf.createContent(bis,"http://uri.data.org");

+ +Beschreibungselement zu den Daten erstellen +

	MetaInfo mi = 
+	spf.createMetaInfo("text/plain","Testdaten",null);

+ +Transformationen erstellen +

	CreateTransformsInfo cti = 
+		spf.createCreateTransformsInfo(null,mi);
+	CreateTransformsInfoProfile ct = 
+		spf.createCreateTransformsInfoProfile(
+			cti,
+			null);

+ +Datenobjekt aufbauen +

	DataObjectInfo doi = 
+		spf.createDataObjectInfo(
+			DataObjectInfo.STRUCTURE_DETACHED,
+			false,
+			cont,
+			ct);
+	List dataobjectinfolist = new ArrayList();
+	dataobjectinfolist.add(doi);

+ +alles zusammenpacken zu einer SingleSignature +

	SingleSignatureInfo ssi = 
+		spf.createSingleSignatureInfo(
+			dataobjectinfolist,
+			null,
+			false);
+	List singlesignatureinfolist = new ArrayList();
+	singlesignatureinfolist.add(ssi);

+die Signatur in einen Request einbetten +

	CreateXMLSignatureRequest cxsreq = 
+		spf.createCreateXMLSignatureRequest(
+			"PKCS12RSAKey1",
+			singlesignatureinfolist);

+ +Signatureerstellungsservice instanzieren +

	SignatureCreationService scs = 
+		SignatureCreationService.getInstance();

+ +Signatureerstellungsservice aufrufen +

	CreateXMLSignatureResponse cxsres = 
+		scs.createXMLSignature(cxsreq);

+ +Response auswerten +

	List elements = cxsres.getResponseElements();
+	
+	SignatureEnvironmentResponse ser = 
+	(SignatureEnvironmentResponse)elements.get(0);

+ +Responsetyp lesen +

	int response_type = ser.getResponseType();
+	if(response_type == 
+		SignatureEnvironmentResponse.ERROR_RESPONSE)
+	{
+		...
+	}
+

+Fehlerfall +

	System.out.println("Bei der Erstellung der 
+	Signatur ist ein Fehler aufgetreten");
+

+Signaturerstellung erfolgreich +

	Element se = ser.getSignatureEnvironment();
+	System.out.println(
+		"Signaturerstellung erfolgreich");
+	displayTree(se);
+

+ +

+

+ + +

+ + + +

Beispiel-Requests

+In den folgenden Abschnitten werden einfache und umfassende Beispiele für Requests beschrieben, die an MOA-SP/SS +gesendet werden können. Damit soll der Anwendungsentwickler einen Überblick über die +Möglichkeiten von MOA-SP/SS vermittelt bekommen. Die detaillierte und vollständige Beschreibung +des Funktionsumfangs ist in den Spezifikationen von MOA-SP/SS und des Security-Layers enthalten. +

+

+ + + +

+ + + +

+Beispiel:
+Request
+Response
+

+

Beispiel:
einfacher CreateXMLSignatureRequest

+Das Beispiel in CreateXMLSignatureReqest1.xml zeigt einen +einfachen <CreateXMLSignatureRequest>. Die Bedeutung der einzelnen Elemente +wird im folgenden beschrieben: +

+  <KeyIdentifier>PKCS12RSAKey1</KeyIdentifier>
+

+PKCS12RSAKey1 bezeichnet eine Schlüsselgruppe aus der MOA-SS einen Signaturschlüssel selektieren soll +und muss einer im Konfigurationsfile definierten <KeyGroup> entsprechen. +

+  <SingleSignatureInfo SecurityLayerConformity="false">
+

+Für jedes <SingleSignatureInfo>-Element wird eine eigene XML-Signatur erzeugt. Wird das +Attribut SecurityLayerConformity auf true gesetzt, dann wird eine XML-Signatur +gemäß Security-Layer Spezifikation erzeugt; d.h. es werden signierte Properties (Zeitpunkt +der Signaturerstellung, +das für die Signaturüberprüfung zu verwendende Zertifikat, Metainformationen zu den signierten Datenobjekten) und ein +Manifest, das alle implizite Transformationsparameter enthält, zur Signatur hinzugefügt. +

+    <DataObjectInfo Structure="enveloping">
+

+Für jedes Daten-Objekt, das in die Signatur als dsig:Reference aufgenommen werden soll, muss ein +DataObjectInfo-Element spezifiziert werden. Das Attribut Structure gibt an, ob die Daten +in die Signatur in ein <dsig:Object>-Element integriert werden soll +(Structure="enveloping") oder via eine URL referenziert werden soll (Structure="detached"). +

+Im Fall von Structure="enveloping" muss im nachfolgenden DataObject Element entweder das +Attribut Reference gesetzt sein oder die zu signierenden Daten explizit im Element Base64Content oder +XMLContent spezifiziert sein. Die Angabe der zu signierenden Daten über das Attribut Reference +und gleichzeitig dem Element Base64Content oder XMLContent ist nicht erlaubt. +

+Im Fall von Structure="detached" muss das Attribut Reference im nachfolgenden DataObject +Element gesetzt sein. Die Angabe der Elemente Base64Content oder XMLContent ist optional. +

+      <DataObject>
+        <XMLContent xml:space="preserve">
+          Diese Daten werden signiert.
+        <XMLContent>
+      </DataObject>
+

+Die zu signierenden Daten werden im Element <DataObject> spezifiziert und können entweder als +<XMLContent> oder <Base64Content> oder über das Attribut Reference +angegeben werden. +

+      <CreateTransformsInfoProfile>
+        <CreateTransformsInfo>
+          <FinalDataMetaInfo>
+            <MimeType>text/plain<MimeType>
+          </FinalDataMetaInfo>
+        </CreateTransformsInfo>
+      </CreateTransformsInfoProfile>
+

+Zu jedem Daten-Objekt können optional Transformationen (z.B. XPath, XSLT, Base64-Decodierung, etc.)angegeben werden. +Werden keine Transformationen angegeben so muss zumindest der MIME-Type der zu signierenden Daten spezifiziert werden. +

+Die von diesem Request erzeugt Response ist in CreateXMLSignatureResponse1.xml abgelegt. +

+

+ + +

+ + + +

+Beispiel:
+Request
+Response
+

+

Beispiel:
einfacher VerifyXMLSignatureRequest

+Die oben erzeugte XML-Signatur kann mit dem in VerifyXMLSignatureReqest1.xml gezeigten +einfachen <VerifyXMLSignatureRequest> wieder überprüft werden. +

+<VerifyXMLSignatureRequest
+  xmlns="http://reference.e-government.gv.at/
+                namespace/moa/20020822#"
+  xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
+  
+  <VerifySignatureInfo>
+    <VerifySignatureEnvironment>
+      <XMLContent>
+        <dsig:Signature
+          Id="signature-1"
+          xmlns:dsig="http://www.w3.org/2000/09/
+                             xmldsig#">
+          .........
+        </dsig:Signature>
+      </XMLContent>
+    </VerifySignatureEnvironment>
+

+ +Im Element VerifySignatureInfo wird zuerst die zu überprüfende Signatur im Element +VerifySignatureEnvironment angegeben. Im Beispiel wird die Signatur als Kind-Element von +<XMLContent> spezifiziert. Alternativ könnte die Signatur in Base64-Kodierung +im Element <Base64Content> oder mit dem Attribut Reference über eine URL +referenziert werden. + +

+    <VerifySignatureLocation>
+      //dsig:Signature
+    </VerifySignatureLocation>
+    
+  </VerifySignatureInfo>
+

+ +Weiters muss mittels eines XPath-Ausdrucks im Element <VerifySignatureLocation> +die Position der zu prüfenden Signatur spezifiziert werden. Werden im XPath-Ausdruck +Namespace-Prefixes verwendet, müssen die entsprechenden Namespace-Deklarationen im Kontext +des Elements VerifySignatureLocation bekannt sein. Im Beispiel wird das Prefix dsig +verwendet, das im Element <VerifyXMLSignatureRequest> deklariert wird. + +

+  <TrustProfileID>TrustProfile1<TrustProfileID>
+

+Abschließend wird im Element <TrustProfileID> ein Trustprofile spezifiziert, das am MOA-SP Server +definiert ist und jene Zertifikate enthält, die für diesen Request als vertrauenswürdig gelten. +

+Die von diesem Request erzeugt Response ist in VerifyXMLSignatureResponse1.xml abgelegt. Die Response enthält das Ergebnis der Signaturprüfung +im Element <SignatureCheck>, das Ergebnis der Zertifikatsprüfung im Element +<CertificateCheck> und Informationen über den Signator im Element +<SignerInfo>/<X509Data>. Die Informationen über den Signator bestehen aus den Elementen +<X509SubjectName>, <X509IssuerSerial> und <X509Certificate>. + +

+

+ + +

+ + + +

Beispiel:
Request
+Response +

+

Beispiel:
umfassender CreateXMLSignatureRequest

Das Beispiel in CreateXMLSignatureReqest2.xml zeigt einen umfassenden +<CreateXMLSignatureRequest>. +

+Das Beispiel benötigt zwei Dateien, die über die URL +http://localhost:8080/TestDatenGenerator/resources/<Dateiname> erreichbar sind. +Bevor der Beispiel-Request ausgeführt wird, muss daher +TestDatenGenerator.zip +entpackt und in $CATALINA_HOME/webapps kopiert werden. Voraussetzung ist, dass Tomcat auf Port 8080 läuft. + +

+<CreateXMLSignatureRequest
+  xmlns="http://reference.e-government.gv.at/
+      namespace/moa/20020822#"
+  xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
+  <KeyIdentifier>PKCS12RSAKey1</KeyIdentifier>
+  <SingleSignatureInfo SecurityLayerConformity="false">
+    <DataObjectInfo Structure="enveloping" 
+    ChildOfManifest="true">
+      <DataObject>
+        <XMLContent>Diese Daten werden 
+        signiert.</XMLContent>
+      </DataObject>
+      <CreateTransformsInfoProfile>
+        <CreateTransformsInfo>
+          <FinalDataMetaInfo>
+            <MimeType>text/plain</MimeType>
+          </FinalDataMetaInfo>
+        </CreateTransformsInfo>
+      </CreateTransformsInfoProfile>
+    </DataObjectInfo>
+  </SingleSignatureInfo>
+

+ +Der Anfang des Requests ist identisch mit dem einfachen CreateXMLSignatureRequest. +Als Variation wurde <ChildOfManifest= "true"> gesetzt. + +Damit wird spezifiziert, dass die zugehörige <dsig:Reference> nicht in das Element +<SignedInfo> sondern in ein XMLDSig-Manifest eingefügt werden soll. + +Wird das Attribut <ChildOfManifest> nicht gesetzt, dann +wird kein XMLDSig-Manifest erzeugt. + +

+  <SingleSignatureInfo SecurityLayerConformity="true">
+

+ +Anschließend wird angegeben, dass eine zweite Signatur erstellt werden soll. +SecurityLayerConformity="true" gibt an, dass die Signatur entsprechend der Security-Layer +Spezifikation Version 1.1 erstellt werden muss, d.h. es werden Signaturattribute und gegebenenfalls ein + +Signatur-Manifest erzeugt. Wird eine Security-Layer konforme Signatur erzeugt, dann +darf <ChildOfManifest="true"> nicht gesetzt sein. +

+Die zweite Signatur soll zwei Datenobjekte enthalten: + +

+    <DataObjectInfo Structure="detached">
+

+ +Für das erste Datenobjekt sollen die signierten Daten nicht in der Signatur enthalten sein (Structure="detached"). + +

+      <DataObject
+        Reference="http://localhost:8080/TestDatenGenerator
+                   /resources/testDaten.txt">
+        <Base64Content>
+          RGllcyBz........DQphdXM=
+        </Base64Content>
+      </DataObject>
+      <CreateTransformsInfoProfile>
+        <CreateTransformsInfo>
+          <FinalDataMetaInfo>
+            <MimeType>text/plain</MimeType>
+          </FinalDataMetaInfo>
+        </CreateTransformsInfo>
+      </CreateTransformsInfoProfile>
+    </DataObjectInfo>
+

+ +Die zu signierenden Daten sind in Base64-Kodierung angegeben und werden in der Signatur über die URL, die im +Attribut Reference angegeben ist, referenziert. Diese URL wird im Zuge der Signaturerstellung +nicht aufgelöst, da die Daten bereits explizit im Request angegeben sind. Es werden keine weitere +Transformationen für das Datenobjekt angegeben. + +

+    <DataObjectInfo Structure="enveloping">
+      <DataObject>
+        <XMLContent xml:space="preserve">
+          <data:book
+            xmlns:data="http://uri.data.org"
+            data:hardback="yes">
+            <data:title>
+              Gesundheitliche Auswirkungen 
+              elektronischer Signaturen
+            </data:title>
+            <data:first-name>Ellipse</data:first-name>
+            <data:last-name>Kurvenreich</data:last-name>
+            <data:birth-date>1951-04-16</data:birth-date>
+            <data:birth-location>
+              Hinterm Berg
+            </data:birth-location>
+            <data:register-number>
+              6-930-21512-12
+            </data:register-number>
+          </data:book>
+        </XMLContent>
+      </DataObject>
+

+ +Das zweite Datenobjekt, das signiert werden soll ist eine XML-Struktur. +

+Für die XML-Struktur wird eine Transformation spezifiziert, die angewendet werden muss, bevor die Daten signiert +werden: +

+      <CreateTransformsInfoProfile>
+

+Transformationen können entweder explizit im Request im Element <CreateTransformsInfoProfile> +angegeben werden oder mit dem Element <CreateTransformsInfoProfileID> über eine am MOA-SS-Server +konfigurierte Profil-ID referenziert werden. +

+        <CreateTransformsInfo>
+

+Im Transformationsprofil werden im Element <CreateTransformsInfo> die Transformationskette +(<dsig:Transforms>) und optionale Ergänzungsobjekte (<Supplement>) angegeben. +

+          <dsig:Transforms>
+            <dsig:Transform
+              Algorithm="http://www.w3.org/TR/
+                1999/REC-xslt-19991116">
+              <xsl:stylesheet
+                xmlns:xsl="http://www.w3.org/
+                   1999/XSL/Transform"
+                version="1.0">
+                <xsl:include
+                  href="http://localhost:8080/
+                        TestDatenGenerator/resources/
+                        CX1_book_not_here.xsl"/>
+              </xsl:stylesheet>
+            </dsig:Transform>
+          </dsig:Transforms>
+

+Im Beispiel besteht die Transformationskette aus einer XSLT-Transformation, die ein weiteres XSLT Stylesheet inkludiert. +MOA-SS unterstützt alle Transformationen aus der XMLDSig-Spezifikation sowie Exclusive XML Canonicalization 1.0 und +XPath Filter 2.0. + +

          
+          <FinalDataMetaInfo>
+            <MimeType>text/html</MimeType>
+          </FinalDataMetaInfo>
+        </CreateTransformsInfo>
+

+<FinalDataMetaInfo> gibt den MIME-Type der Daten an, die das Ergebnis der Transformation bilden und +tatsächlich signiert werden. +

+Weiters können optional Ergänzungsobjekte angegeben werden, die Daten enthalten, die von MOA-SP zur +Signaturerstellung verwendet werden sollen: +

+        <Supplement>
+          <Content Reference="http://localhost:8080/
+                              TestDatenGenerator/resources/
+                              CX1_book_not_here.xsl">
+            <Base64Content>PHhzbDpzdHls.....eWxlc2hlZXQ+
+            </Base64Content>
+          </Content>
+        </Supplement>
+      </CreateTransformsInfoProfile>
+    </DataObjectInfo>
+

+Im aktuellen Beispiel wird ein Ergänzungsobjekt für jenes Stylesheet angegeben, das im Stylesheet der oben +spezifizierten XSLT-Transformation referenziert wird. MOA-SS wird die angegebene URL nicht auflösen sondern +stattdessen die im Ergänzungsobjekt enthaltenen Daten verwenden. +

+    <CreateSignatureInfo xmlns:env="http://uri.env.org">
+

+Abschließend wird hier noch mittels des optionalen Elements <CreateSignatureInfo> festgelegt, +dass die zu erzeugende Signatur in ein bereits bestehendes XML-Dokument eingebettet werden soll. Im Beispiel +wird das Namespace-Prefix env hier deklariert, da es weiter unten im Element +CreateSignatureLocation verwendet werden wird. +

+      <CreateSignatureEnvironment>
+        <XMLContent>
+          <env:Document
+            xmlns:env="http://uri.env.org"
+            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
+            xsi:schemaLocation="http://uri.env.org
+                                http://anyhost/envSchema.xsd">
+            nach diesem Text wird die Signatur in das Dokument
+            eingefügt
+          </env:Document>
+        </XMLContent>
+      </CreateSignatureEnvironment>
+

+Im Element <CreateSignatureEnvironment> wird das XML-Dokument angegeben. +

+      <CreateSignatureEnvironmentProfile>
+        <CreateSignatureLocation Index="1">
+          /env:Document
+        </CreateSignatureLocation>
+      </CreateSignatureEnvironmentProfile>
+

+Anschließend wird im Profil angegeben an welcher Position des XML-Dokuments die Signatur eingefügt werden +soll. Im Element <CreateSignatureLocation> wird ein XPath-Ausdruck angegeben, der das +Element selektiert, als dessen Kind die Signatur eingefügt werden soll. Das Attribut Index spezifiziert +die Position innerhalb dieses Elements, an der die Signatur eingefügt werden soll. "0" gibt an, +dass die Signatur als erstes Kind eingefügt werden soll. +

+    </CreateSignatureInfo>
+  </SingleSignatureInfo>
+</CreateXMLSignatureRequest>
+

+Abschließend müssen alle Elemente wieder geschlossen werden. +

+Die von diesem Request erzeugt Response ist in +CreateXMLSignatureResponse2.xml abgelegt. Die Response enthält zwei Elemente SignatureEnvironment, die die +beiden erzeugten Signaturen enthalten. +

+

+ +

+ + + + + +

+Beispiel:
+Request
+Response
+

+

Beispiel:
umfassender VerifyXMLSignatureRequest

+Das Beispiel in +VerifyXMLSignatureReqest2.xml zeigt wie die im obigen Beispiel erzeugte zweite Signatur +überprüft werden kann. +

+<VerifyXMLSignatureRequest
+  xmlns="http://reference.e-government.gv.at/
+     namespace/moa/20020822#"
+  xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
+  <DateTime>2003-03-24T12:41:54+01:00</DateTime>
+

+Optional kann ein Datum und eine Uhrzeit angegeben werden, für die die Überprüfung durchgeführt werden soll. + +

  
+  <VerifySignatureInfo>
+    <VerifySignatureEnvironment>
+     <XMLContent>
+       <env:Document xmlns:env="http://uri.env.org" .....>
+         nach diesem Text ..... Dokument eingefuegt
+         <dsig:Signature .....>.....</dsig:Signature>
+       </env:Document>
+      </XMLContent>
+    </VerifySignatureEnvironment>
+

+Die Signatur inklusive des umgebenden XML-Dokuments wird im Element <VerifySignatureEnvironment> +angegeben. +

    
+    <VerifySignatureLocation>
+      //dsig:Signature
+    </VerifySignatureLocation>
+  </VerifySignatureInfo>
+

+Die zu prüfende Signatur aus dem Element <VerifySignatureEnvironment> wird über einen XPath-Ausdruck +spezifiziert. + +Enthält die Signatur ID-Attribute, die referenziert werden, dann muss das XML-Dokument validierend geparst werden können. +Im Beispiel-Request wird die URL des Schemas für das Element env:Document im Attribut xsi:schemaLocation +spezifiziert (http://anyhost/envSchema.xsd). Soll MOA-SP diese URL nicht selbst auflösen, dann kann das +Schema kann im Element SupplementProfile übergeben werden: + +

+  <SupplementProfile>
+    <Content Reference="http://anyhost/envSchema.xsd">
+      <XMLContent xml:space="preserve">
+        <xsd:schema
+          targetNamespace="http://uri.env.org"
+          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
+          xmlns:xsd="http://www.w3.org/2001/XMLSchema"
+          elementFormDefault="qualified"
+          attributeFormDefault="unqualified">
+          <xsd:element name="Document">
+            <xsd:complexType mixed="true">
+              <xsd:sequence minOccurs="0"
+                            maxOccurs="unbounded">
+                <xsd:any namespace="##any"
+                         processContents="lax"/>
+              </xsd:sequence>
+            </xsd:complexType>
+          </xsd:element>
+        </xsd:schema>
+      </XMLContent>
+    </Content>
+  </SupplementProfile>
+

+ +

+  <ReturnHashInputData/>
+

+Das Element gibt an, dass für jedes dsig:SignedInfo/dsig:Reference Element jene Daten, die für die +Hash-Berechnung der Signatur als Eingangsdaten verwendet werden, in der Antwort returniert werden sollen. + +

+  <TrustProfileID>TrustProfile1</TrustProfileID>
+</VerifyXMLSignatureRequest>
+

+Abschließend wird ein am MOA-SP Server definiertes Profil angegeben, dass jene Zertifikate umfasst, die für +diesen Request als vertrauenswürdig anzusehen sind. +

+ +Die von diesem Request erzeugt Response ist in +VerifyXMLSignatureResponse2.xml abgelegt. Zusätzlich zu den Daten der Response des einfachen +VerifyXMLSignatureRequests enthält diese Response für jedes dsig:SignedInfo/dsig:Reference Element +ein HashInputData Element. +

+

+ + + + + +

+ + + +

+Beispiel:
+Request
+Response
+

+

Beispiel:
VerifyCMSSignatureRequest

+Das Beispiel in VerifyCMSSignatureRequest.xml zeigt einen +einfachen <VerifyCMSSignatureRequest>. Die Bedeutung der einzelnen Elemente +wird im folgenden beschrieben: +

+<VerifyCMSSignatureRequest
+  xmlns="http://reference.e-government.gv.at/
+    namespace/moa/20020822#"
+  xmlns:dsig="http://www.w3.org/2000/09/xmldsig#"
+  Signatories="1">
+

+Das optionale Attribut Signatories enthält eine Liste von positiven Ganzzahlen und gibt an, welche Signaturen +im CMS-Datenobjekt überprüft werden sollen. Signatories="1" gibt an, dass die erste Signatur geprüft +werden soll. +Wird das Attribut nicht spezifiziert, dann wird ebenfalls die erste Signatur geprüft. Signatories="all" +gibt an, dass alle im CMS-Objekt enthaltene Signaturen geprüft werden sollen. + +

+  <DateTime>2003-04-04T09:30:47-05:00</DateTime>
+

+Das optionale Element <DateTime> gibt an für welchen Zeitpunkt die Signaturüberprüfung +durchgeführt werden soll. Ist das Element nicht im Request enthalten, dann wird die aktuelle Systemzeit +verwendet. + +

+  <CMSSignature>MIIGAAYJKo...mT9fmvKwdJOiA==</CMSSignature>
+

+Das Element <CMSSignature> enthält das CMS-Signaturobjekt in Base64-Kodierung. +

+Sind die signierten Daten nicht in der CMS-Signatur enthalten, müssen sie im DataObject-Element +angegeben werden. Optional kann der MIME-Type dieser Daten spezifiziert werden. Die eigentlichen Daten +müssen im Base64Content-Element in Base64-Kodierung vorliegen. + +

+  <TrustProfileID>TrustProfile1<TrustProfileID>
+

+ +TrustProfile1 referenziert ein im Konfigurationsfile des MOA-Server definiertes Profil, das +jene Zertifikate umfasst, die für diese Überprüfung als vertrauenswürdig gelten. + + +

+Die von diesem Request erzeugt Response ist in +VerifyCMSSignatureResponse.xml abgelegt. Die Response enthält die selben Informationen wie die Response zum +einfachen VerifyXMLSignatureRequest. +

+

+ + + + + + +

+
+ + +

+ + \ No newline at end of file -- cgit v1.2.3