<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
  <title>Die &ouml;sterreichische B&uuml;rgerkarte - Einf&uuml;hrung</title>
  <link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
<body bgcolor="white" text="#000000" link="#990000" vlink="#666666" alink="#cc9966"> 
  <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> 
    <tr> 
      <td align="center" width="30%"><img src="../common/LogoBKA.png" width="267" height="36" alt="Logo BKA"></td> 
      <td align="center" class="logoTitle"><div align="right">Open Source  
        f&uuml;r das E-Government</div></td> 
    </tr> 
  </table> 
  <hr/> 
  <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturpr&uuml;fung (SP), V 1.2 </a></p> 
  <p class="subtitle">Installation</p> 
  <hr/>
  <h1>Inhalt</h1>
  <ol>
    <li>
      <p><a href="#&#220;bersicht">&Uuml;bersicht</a></p>
 
    </li>
  <li>
      <p><a href="#webservice">Webservice</a></p>
    </li>
    <li><a href="#klassenbibliothek">Klassenbibliothek</a></li>
  </ol>
<hr/>
  <h1><a name="�bersicht" id="�bersicht"></a>1 &Uuml;bersicht</h1>
  <p>   Die Module Signaturpr&uuml;fung (SP) und Serversignatur (SS) sind als plattformunabh&auml;ngige Module ausgelegt, die entweder als Webservice &uuml;ber HTTP bzw. HTTPS oder als Klassenbibliothek &uuml;ber ein API angesprochen werden k&ouml;nnen. Dieses Handbuch beschreibt die Installation  der beiden Module als Webservice oder als Klassenbibliothek, sowie die Einrichtung der Systemumgebung.</p>
  <h1><a name="webservice"></a>2 Webservice </h1>
  <p>Dieser Abschnitt beschreibt die Installation von MOA SP/SS als Webservice. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsm&ouml;glichkeiten auf.</p>
  <h2><a name="webservice_basisinstallation" id="webservice_basisinstallation"></a>2.1 Basisinstallation</h2>
  <h3><a name="webservice_basisinstallation_einf�hrung" id="webservice_basisinstallation_einf�hrung"></a>2.1.1 Einf&uuml;hrung </h3>
  <p> Die Basisinstallation des Webservices stellt einerseits die minimalen Anforderungen f&uuml;r den Betrieb von MOA SP/SS als Webservices dar, andererseits dient sie als Ausgangspunkt f&uuml;r optionale <a href="#webservice_erweiterungsm&#246;glichkeiten">Erweiterungsm&ouml;glichkeiten</a>.</p>
  <p>    Folgende Software ist Voraussetzung f&uuml;r die Basisinstallation des Webservices: </p>
  <ul>
    <li><a href="referenziertesoftware">J2SE 1.3.1 SDK oder J2SE 1.4.2 SDK </a></li>
    <li><a href="#referenziertesoftware">Apache Tomcat 4.1.18 oder h&ouml;her </a></li>
  </ul>
  <p>In diesem Betriebs-Szenario wird das MOA SP/SS Webservice in Tomcat zum Einsatz gebracht. Tomcat fungiert gleichzeitig als HTTP- und HTTPS-Endpunkt f&uuml;r das MOA SP/SS Webservice. Beide Protokolle werden direkt in Tomcat konfiguriert. Das MOA SP/SS Webservice verwendet Log4j als Logging Toolkit.</p>
  <h3><a name="webservice_basisinstallation_installation" id="webservice_basisinstallation_installation"></a>2.1.2 Installation</h3>
  <h4><a name="webservice_basisinstallation_installation_vorbereitung" id="webservice_basisinstallation_installation_vorbereitung"></a>2.1.2.1 Vorbereitung</h4>
  <p>Die folgenden Schritte dienen der Vorbereitung der Installation.</p>
  <dl>
  <dt>Installation von J2SE SDK</dt>
  <dd>Installieren Sie <a href="#referenziertesoftware">J2SE 1.3.1 SDK</a> oder <a href="#referenziertesoftware">J2SE 1.4.2 SDK</a> in ein beliebiges Verzeichnis. Wir empfehlen die Installation von <a href="#referenziertesoftware">J2SE 1.4.2 SDK</a>. Das Wurzelverzeichnis der J2SE SDK Installation wird im weiteren Verlauf als <code>$JAVA_HOME</code> bezeichnet. </dd>
  <dt>Installation von Apache Tomcat 4.1</dt>
  <dd> Installieren Sie <a href="#referenziertesoftware">Apache Tomcat 4.1.18</a> oder h&ouml;her in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enth&auml;lt. Wir empfehlen die Installation von <a href="#referenziertesoftware">Apache Tomcat 4.1.30</a>. Verwenden Sie bitte die zu Ihrem J2SE SDK passende Distribution von Tomcat. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als <code>$CATALINA_HOME</code> bezeichnet.</dd>
  <dt>Entpacken der MOA SP/SS Webservice Distribution</dt>
  <dd> Entpacken Sie die Datei <code>moa-spss-1.2.x.zip</code> in ein beliebiges Verzeichnis. Dieses Verzeichnis wird im weiteren Verlauf als <code>$MOA_SPSS_INST</code> bezeichnet. </dd>
  <dt>Installation der mitgelieferten Krypographiebibliotheken</dt>
  <dd>
    <p>Die Installation der mitgelieferten Kryptographiebibliotheken des <a href="http://jce.iaik.tugraz.at/" target="_blank">IAIK</a> ist abh&auml;ngig vom eingesetzten J2SE SDK:</p>
    <dl>
	<dt>J2SE 1.3.1 SDK</dt>
	<dd>Kopieren Sie alle Dateien aus dem Verzeichnis 


      <code>$MOA_SPSS_INST/ext13</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>.</dd>
	<dt>J2SE 1.4.2 SDK</dt>
	<dd>Kopieren Sie alle Dateien aus dem Verzeichnis <code>$MOA_SPSS_INST/ext14</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>. Zus&auml;tzlich m&uuml;ssen Sie die Rechtedateien Ihres J2SE 1.4.2 SDK austauschen. Laden Sie dazu die <span class="term">Unlimited Strength 


   Jurisdiction Policy Files</span> von der <a href="http://java.sun.com/j2se/1.4.2/download.html" target="_blank">J2SE 1.4.2 SDK Downloadseite</a> und folgen Sie der darin enthaltenen Installationsanweisung. </dd>
	</dl>
  </dd>
  </dl>
  <h4><a name="webservice_basisinstallation_installation_tomcatconfig" id="webservice_basisinstallation_installation_tomcatconfig"></a>2.1.2.2 Konfiguration von Apache Tomcat</h4>
  <p> Die zentrale Konfigurations-Datei von Tomcat ist <code>$CATALINA_HOME/conf/server.xml</code>. Tomcat wird grunds&auml;tzlich mit einer funktionierenden Default-Konfiguration ausgeliefert, die jedoch einiges an Ballast enth&auml;lt und viele Ports offen l&auml;sst. </p>
  <h5>Konfiguration des HTTP Connectors</h5>
  <p> Die Datei <code>$MOA_SPSS_INST/tomcat/server.xml</code> enth&auml;lt eine minimale Tomcat-Konfiguration, die ausschlie&szlig;lich den Connector f&uuml;r HTTP auf Port 8080 freischaltet. Durch kopieren dieser Datei nach <code>$CATALINA_HOME/conf/server.xml</code> kann Tomcat mit dieser Konfiguration gestartet werden. Wir empfehlen diese Konfiguration nur f&uuml;r F&auml;lle, in denen das MOA SP/SS Webservice in einer abgeschlossenen Netzwerkumgebung betrieben wird. </p>
  <h5>Konfiguration des HTTPS Connectors</h5>
  <p>Wird das MOA SP/SS Webservice in einer nicht abgeschlossenen Umgebung (z.B. Erreichbarkeit &uuml;ber das Internet) betrieben, ist die gegenseitige Identit&auml;tsfeststellung von Kunde und Webservice essentiell: </p>
  <ul>
    <li> Nutzt ein Kunde MOA SP, ist es f&uuml;r ihn wichtig, die Identit&auml;t des Webservice eindeutig feststellen zu k&ouml;nnen, denn er vertraut dem Webservice ja die Pr&uuml;fung einer elektronischen Signatur an.</li>
    <li>Nutzt ein Kunde MOA SS, ist es f&uuml;r ihn wesentlich, dass nur er Zugriff auf die f&uuml;r ihn vom Webservice verwalteten privaten Schl&uuml;ssel hat, um elektronische Signaturen zu erstellen. Das Webservice muss also die Identit&auml;t des Kunden pr&uuml;fen. </li>
  </ul>
  <p>Beide Identit&auml;tspr&uuml;fungen k&ouml;nnen mit hoher Qualit&auml;t vorgenommen werden, wenn die Erreichbarkeit des Webservice auf SSL mit Server- (f&uuml;r MOA SP) bzw. Client- und Serverauthentisierung (f&uuml;r MOA SS) eingeschr&auml;nkt wird. </p>
  <p>F&uuml;r die dazu notwendige Konfiguration kann die im vorigen Abschnitt besprochene minimale Tomcat-Konfiguration als Ausgangspunkt verwendet werden: Zun&auml;chst ist der HTTP Connector abzuschalten (auszukommentieren). Anschlie&szlig;end ist der HTTPS Connector zu konfigurieren. Das Dokument <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/ssl-howto.html">Tomcat SSL Configuration HOW-TO </a> gibt einen guten &Uuml;berblick dazu. Grob zusammengefasst sind folgende Schritte durchzuf&uuml;hren: </p>
  <ul>
    <li>Erstellung eines <span class="term">Server-Keystores</span>, der den privaten Schl&uuml;ssel sowie das zugeh&ouml;rige Zertifikat des Webservices enth&auml;lt, mit dem es sich bei Aufbau einer SSL-Verbindung gegen&uuml;ber dem Kunden ausweist.sowie das dazugeh&ouml;rige ZertiServer-Zertifikat enth&auml;lt. Sie k&ouml;nnen diesen Keystore z.B. mit <code>keytool</code> erstellen, einem Programm, das Ihrem J2SE SDK beiliegt.</li>
    <li>Erstellung eines <span class="term">Client-Keystores</span>, der die Zertifikate aller Kunden des Webservices enth&auml;lt. Nur Kunden des Webservices, die sich beim Aufbau einer SSL-Verbindung gegen&uuml;ber dem Webservice mit einem im <span class="term">Client-Keystore</span> enthaltenen Zertifikat ausweisen, erhalten grunds&auml;tzlich Zugriff zu den  Diensten des Webservices (f&uuml;r die Konfiguration, welcher Kunde welche Schl&uuml;ssel von MOA SS verwenden darf, siehe <span class="comment">TBD</span>). Auch dieser Keystore kann z.B. mit <code>keytool</code> erstellt werden. Dieser Keystore ist optional und braucht nur erstellt zu werden, wenn sich die Kunden  gegen&uuml;ber dem Webservice authentisieren m&uuml;ssen. </li>
    <li>Konfiguration des HTTPS Connectors in <code>$CATALINA_HOME/conf/server.xml</code>.</li>
  </ul>
  <p>Die Konfiguration des HTTPS Connectors kann entfallen, wenn Tomcat ein Webserver vorgeschaltet ist, und dieser die SSL-Kommunikation mit dem Kunden &uuml;bernimmt (siehe <a href="#webservice_erweiterungsm&#246;glichkeiten_webserver">Abschnitt 2.2.1</a>).</p>
  <h5>Einrichten des MOA SP/SS Administrators </h5>
  <p>Das MOA SP/SS Webservice kann <span class="term">remote</span> durch den Aufruf einer speziellen URL des Webservices dazu veranlasst werden, seine Konfiguration neu einzulesen. Der Zugriff auf diese URL ist durch eine Passwort-Abfrage gesch&uuml;tzt, und kann nur von Tomcat-Benutzern aufgerufen werden, denen die Tomcat-Benutzer-Rolle <code>moa-admin</code> zugeordnet wurde.</p>
  <p>    Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, m&uuml;ssen in der Datei <code>$CATALINA_HOME/conf/tomcat-users.xml </code>unter dem Element <code>&lt;tomcat-users&gt;</code> sinngem&auml;&szlig; folgende Eintr&auml;ge hinzugef&uuml;gt werden: </p>
  <p>
  <pre>&lt;role rolename="moa-admin"/&gt; 
&lt;user username="moa-chief" password="openSesam" roles="moa-admin"/&gt; </pre>
<p>Soll der Aufruf dieser URL niemandem erm&ouml;glicht werden, sind die oben beschriebenen Eintr&auml;ge einfach nicht vorzunehmen.</p>
  <h2><a name="webservice_erweiterungsm�glichkeiten" id="webservice_erweiterungsm�glichkeiten"></a>2.2 Erweiterungsm&ouml;glichkeiten</h2>
  <p>Ausgehend von der <a href="#webservice_basisinstallation">Basisinstallation</a> k&ouml;nnen die optionalen Erweiterungen, die in den nachfolgenden Abschnitten beschrieben werden, unabh&auml;ngig und in beliebiger Kombination aufgesetzt werden.</p>
  <h3><a name="webservice_erweiterungsm�glichkeiten_webserver" id="webservice_erweiterungsm�glichkeiten_webserver"></a>2.2.1 Vorgeschalteter Webserver</h3>
  <h4><a name="webservice_erweiterungsm�glichkeiten_webserver_apache" id="webservice_erweiterungsm�glichkeiten_webserver_apache"></a>2.2.1.1 Apache</h4>
  <h4><a name="webservice_erweiterungsm�glichkeiten_webserver_iis" id="webservice_erweiterungsm�glichkeiten_webserver_iis"></a>2.2.1.2 Microsoft Internet Information Server</h4>
  <h3><a name="webservice_erweiterungsm�glichkeiten_datenbank" id="webservice_erweiterungsm�glichkeiten_datenbank"></a>2.2.2 Datenbank</h3>
  <h4><a name="webservice_erweiterungsm�glichkeiten_datenbank_postgresql" id="webservice_erweiterungsm�glichkeiten_datenbank_postgresql"></a>2.2.2.1 PostgreSQL</h4>
  <h4><a name="webservice_erweiterungsm�glichkeiten_datenbank_oracle" id="webservice_erweiterungsm�glichkeiten_datenbank_oracle"></a>2.2.2.2 Oracle</h4>
  <h3><a name="webservice_erweiterungsm�glichkeiten_hsm" id="webservice_erweiterungsm�glichkeiten_hsm"></a>2.2.3 Hardware Security Module (HSM)</h3>
  <h1><a name="klassenbibliothek"></a>3 Klassenbibliothek</h1>
  <p>Dieser Abschnitt beschreibt die Verwendung von MOA SP/SS als Klassenbibliothek. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsm&ouml;glichkeiten auf.</p>
  <h2><a name="klassenbibliothek_basisinstallation" id="klassenbibliothek_basisinstallation"></a>3.1 Basisinstallation</h2>
  <h3><a name="klassenbibliothek_basisinstallation_einf&uuml;hrung" id="klassenbibliothek_basisinstallation_einf&uuml;hrung"></a>3.1.1 Einf&uuml;hrung </h3>
  <p>Die Basisinstallation der Klassenbibliothek stellt einerseits die minimalen Anforderungen f&uuml;r den Einsatz von MOA SP/SS als Klassenbibliothek dar, andererseits dient sie als Ausgangspunkt f&uuml;r optionale Erweiterungsm&ouml;glichkeiten.</p>
  <p>    Folgende Software ist Voraussetzung f&uuml;r die Basisinstallation der Klassenbibliothek: </p>
  <ul>
    <li><a href="#referenziertesoftware">J2SE 1.3.1 JRE</a> oder <a href="#referenziertesoftware">J2SE 1.4.2 JRE</a> </li>
  </ul>
  <p>Die MOA SP/SS Klassenbibliothek verwendet Log4j als Logging Toolkit.</p>
  <h3><a name="klassenbibliothek_basisinstallation_installation" id="klassenbibliothek_basisinstallation_installation"></a>3.2.1 Installation </h3>
  <h2><a name="klassenbibliothek_erweiterungsm�glichkeiten" id="klassenbibliothek_erweiterungsm�glichkeiten"></a>3.2 Erweiterungsm&ouml;glichkeiten </h2>
  <h3><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank"></a>3.2.1 Datenbank</h3>
  <h4><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_postgresql" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_postgresql"></a>3.2.1.1 PostgreSQL</h4>
  <h4><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_oracle" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_oracle"></a>3.2.1.2 Oracle</h4>
  <h3><a name="klassenbibliothek_erweiterungsm�glichkeiten_hsm" id="klassenbibliothek_erweiterungsm�glichkeiten_hsm"></a>3.2.2 Hardware Security Module (HSM)</h3>
  <h1><a name="referenziertesoftware"></a>A Referenzierte Software</h1>
<p>Auf folgende Software-Pakete wird in diesem Handbuch verwiesen:</p>
<table class="fixedWidth"  border="1" cellpadding="2">
  <tr>
    <th scope="col">Name</th>
    <th scope="col">Beschreibung</th>
    </tr>
  <tr>
    <td><a href="http://jakarta.apache.org/tomcat/index.html" target="_blank">Apache Tomcat 4.1.x </a></td>
    <td>Servlet-Container des Apache Jakarta Projekts in der Version 4.1.x </td>
    </tr>
  <tr>
    <td><a href="http://java.sun.com/j2se/1.3.1/" target="_blank">J2SE 1.3.1 SDK/JRE</a> </td>
    <td>Java 2 Standard Edition in der Version 1.3.1 (Software Development Kit bzw. Java Runtime Environment) </td>
    </tr>
  <tr>
    <td><a href="http://java.sun.com/j2se/1.4.2/" target="_blank">J2SE 1.4.2 SDK/JRE</a></td>
    <td>Java 2 Standard Edition in der Version 1.4.2 (Software Development Kit bzw. Java Runtime Environment) </td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
  <tr>
    <td>&nbsp;</td>
    <td>&nbsp;</td>
    </tr>
</table>
<p>&nbsp;</p>
<p>&nbsp; </p>
</body>
</html>