From d828ffa51c6915560094ebf70c6fc9d2dc8fbeff Mon Sep 17 00:00:00 2001 From: kstranacher_eGovL Date: Fri, 28 Dec 2012 11:11:55 +0000 Subject: Minor updates for TSL integration (documentation, default tsl working directory, tomcat startscript, example configuration with TSL support) git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1303 d688527b-c9ab-4aba-bd8d-4036d912da1d --- .../conf/moa-spss/sp.minimum_with_tsl.config.xml | 112 +++++++++++++++++++++ .../conf/moa-spss/tslworking/trust/eu/EU.der | Bin 0 -> 1440 bytes .../conf/moa-spss/tslworking/trust/eu/EU2.der | Bin 0 -> 1856 bytes spss/handbook/handbook/config/config.html | 42 +++++--- 4 files changed, 140 insertions(+), 14 deletions(-) create mode 100644 spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml create mode 100644 spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der create mode 100644 spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der (limited to 'spss/handbook') diff --git a/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml new file mode 100644 index 000000000..255360088 --- /dev/null +++ b/spss/handbook/conf/moa-spss/sp.minimum_with_tsl.config.xml @@ -0,0 +1,112 @@ + + + + + + + + + + + + true + true + + + certstore + + + + + + pkix + + + Test-Signaturdienste + trustProfiles/test + + + TestTSL + trustProfiles/testTSL + + + + + + + + + + true + 0 + + CRL + OCSP + + + false + 365 + + + jdbc:url + fully.qualified.classname + + + + + + CN=A-Trust-Qual-01,OU=A-Trust-Qual-01,O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=A-Trust-Qual-02,OU=A-Trust-Qual-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=A-Trust-Qual-03,OU=A-Trust-Qual-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-01,OU=a-sign-Premium-Sig-01,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-02,OU=a-sign-Premium-Sig-02,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-Premium-Sig-03,OU=a-sign-Premium-Sig-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + CN=a-sign-premium-mobile-03,OU=a-sign-premium-mobile-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT + 12775 + + + E=a-cert@a-cert.at,CN=A-CERT GOVERNMENT,O=ARGE DATEN - Österreichische Gesellschaft für Datenschutz,L=Wien,S=Wien,C=AT + 12775 + + + + + + + + + 02:00:00 + 86400000 + + tslworking + + + + diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der new file mode 100644 index 000000000..abca57d50 Binary files /dev/null and b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU.der differ diff --git a/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der new file mode 100644 index 000000000..1520644fc Binary files /dev/null and b/spss/handbook/conf/moa-spss/tslworking/trust/eu/EU2.der differ diff --git a/spss/handbook/handbook/config/config.html b/spss/handbook/handbook/config/config.html index 6cb0d4a37..5561a3696 100644 --- a/spss/handbook/handbook/config/config.html +++ b/spss/handbook/handbook/config/config.html @@ -103,6 +103,7 @@
  1. Minimale Konfiguration für MOA SS
  2. Minimale Konfiguration für MOA SP
    3. +
  3. Minimale Konfiguration für MOA SP mit TSL Unterstützung
  4. Typische Konfiguration für MOA SP/SS
@@ -724,10 +725,10 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr gespeichert ist. Eine absolute URL muss als Protokoll-Teil file verwenden. Das referenzierte Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. -
  • Element cfg:EUTSL: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstüzung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.
    +
  • Element cfg:EUTSL: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstützung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel "accredited" oder "undersupervision" stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.
    Zusätzliche kann ein optionales Kind-Element - cfg:CountrySelection angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Ländern herangezogen.
    - Wichtig: Es können zusätzlich manuelle Vertrauensanker via cfg:TrustAnchorsLocation konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenfalls nicht erfolgreich durchgeführt werden kann.
    + cfg:CountrySelection angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Länder herangezogen.
    + Wichtig: Es können zusätzlich manuelle Vertrauensanker via cfg:TrustAnchorsLocation konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenenfalls nicht erfolgreich durchgeführt werden kann.
    Wichtig: Bei aktivierter TSL-Unterstützung muss einen entsprechende TSL Konfiguration angegeben werden (siehe TSL Konfiguration).
    • @@ -1019,20 +1020,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
  • Element cfg:StartTime: Legt eine Startzeit im Format hh:mm:ss fest.
  • Element cfg:Period: Legt das Intervall (in Millisekunden) fest, in welchem die EU-TSL erneut eingelesen werden soll
    • - Hinweis: Wird kein cfg:UpdateSchedule Element angegeben so wird defaultmäßig 02:00.00 als Startzeit und 86400000 Millisekunden (=1 Tag) als Intervall herangezogen - -
  • Element cfg:WorkingDirectory: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.
    - Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis - "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdige Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
    • + Hinweis: Wird kein cfg:UpdateSchedule Element angegeben so wird defaultmäßig 02:00.00 als Startzeit und 86400000 Millisekunden (=1 Tag) als Intervall herangezogen
    + Hinweis: Der Import der Zertifikate von der EU-TSL benötigt (je nach Verbindung) ca. 90-180 Sekunden. Als Startzeit sollte daher eine Zeit gewählt werden, zu der die Auslastung gering ist. +
  • Element cfg:WorkingDirectory: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.
    +
    • + Hinweis: Wird kein cfg:WorkingDirectory Element angegeben so wird defaultmäßig tslworking als Arbeitsverzeichnis herangezogen.
    + + Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis + "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.

    Wichtig: Beim Tomcat-Start muss zusätzlich noch ein so genannten Hashcache Verzeichnis angegeben werden. Dies erfolgt mit dem Parameter iaik.xml.crypto.tsl.BinaryHashCache.DIR (siehe auch Starten und Stoppen von Tomcat).

    Hinweis: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe Vertrauensprofil)

    - -   -   - - + +

    2.3.2 Profil für Transformationen

    @@ -1144,7 +1145,20 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
  • Einstellungen betreffend die Widerrufsprüfung von Zertifikaten des Zertifikatspfades (cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking) .

    • Minimale Konfiguration für MOA SP

    -

    3.3 Typische Konfiguration für MOA SP/SS

    +

    3.3 Minimale Konfiguration für MOA SP mit TSL Unterstützung

    +

    Nachfolgend finden Sie eine zentrale Konfigurationsdatei mit den minimal notwendigen Einträgen für + den alleinigen Betrieb von MOA SP mit TSL Unterstützung. Darin sind als Kinder des Wurzelelements cfg:MOAConfiguration folgende + Konfigurationselemente enthalten:

    + +

    Minimale Konfiguration für MOA SP mit TSL Unterstützung

    + +

    3.4 Typische Konfiguration für MOA SP/SS

    Nachfolgend finden Sie eine typische zentrale Konfigurationsdatei mit Einträgen für den kombinierten Betrieb von MOA SP und SS. Diese Datei wird auch als Konfiguration von MOA SP und SS verwendet, die für das Ausführen der Beispiele des Anwenderhandbuchs notwendig ist.

    Typische Konfiguration für MOA SP/SS

     

    -- cgit v1.2.3