<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta http-equiv="content-type" content="text/html; charset=iso-8859-1"> <title>Die österreichische Bürgerkarte - Einführung</title> <link rel="stylesheet" href="../common/MOA.css" type="text/css"> </head> <body bgcolor="white" text="#000000" link="#990000" vlink="#666666" alink="#cc9966"> <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> <tr> <td align="center" width="30%"><img src="../common/LogoBKA.png" width="267" height="36" alt="Logo BKA"></td> <td align="center" class="logoTitle"><div align="right">Open Source für das E-Government</div></td> </tr> </table> <hr/> <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP), V 1.2 </a></p> <p class="subtitle">Installation</p> <hr/> <h1>Inhalt</h1> <ol> <li> <p><a href="#Übersicht">Übersicht</a></p> </li> <li> <p><a href="#webservice">Webservice</a></p> </li> <li><a href="#klassenbibliothek">Klassenbibliothek</a></li> </ol> <hr/> <h1><a name="�bersicht" id="�bersicht"></a>1 Übersicht</h1> <p> Die Module Signaturprüfung (SP) und Serversignatur (SS) sind als plattformunabhängige Module ausgelegt, die entweder als Webservice über HTTP bzw. HTTPS oder als Klassenbibliothek über ein API angesprochen werden können. Dieses Handbuch beschreibt die Installation der beiden Module als Webservice oder als Klassenbibliothek, sowie die Einrichtung der Systemumgebung.</p> <h1><a name="webservice"></a>2 Webservice </h1> <p>Dieser Abschnitt beschreibt die Installation von MOA SP/SS als Webservice. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsmöglichkeiten auf.</p> <h2><a name="webservice_basisinstallation" id="webservice_basisinstallation"></a>2.1 Basisinstallation</h2> <h3><a name="webservice_basisinstallation_einf�hrung" id="webservice_basisinstallation_einf�hrung"></a>2.1.1 Einführung </h3> <p> Die Basisinstallation des Webservices stellt einerseits die minimalen Anforderungen für den Betrieb von MOA SP/SS als Webservices dar, andererseits dient sie als Ausgangspunkt für optionale <a href="#webservice_erweiterungsmöglichkeiten">Erweiterungsmöglichkeiten</a>.</p> <p> Folgende Software ist Voraussetzung für die Basisinstallation des Webservices: </p> <ul> <li><a href="referenziertesoftware">J2SE 1.3.1 SDK oder J2SE 1.4.2 SDK </a></li> <li><a href="#referenziertesoftware">Apache Tomcat 4.1.18 oder höher </a></li> </ul> <p>In diesem Betriebs-Szenario wird das MOA SP/SS Webservice in Tomcat zum Einsatz gebracht. Tomcat fungiert gleichzeitig als HTTP- und HTTPS-Endpunkt für das MOA SP/SS Webservice. Beide Protokolle werden direkt in Tomcat konfiguriert. Das MOA SP/SS Webservice verwendet Log4j als Logging Toolkit.</p> <h3><a name="webservice_basisinstallation_installation" id="webservice_basisinstallation_installation"></a>2.1.2 Installation</h3> <h4><a name="webservice_basisinstallation_installation_vorbereitung" id="webservice_basisinstallation_installation_vorbereitung"></a>2.1.2.1 Vorbereitung</h4> <p>Die folgenden Schritte dienen der Vorbereitung der Installation.</p> <dl> <dt>Installation von J2SE SDK</dt> <dd>Installieren Sie <a href="#referenziertesoftware">J2SE 1.3.1 SDK</a> oder <a href="#referenziertesoftware">J2SE 1.4.2 SDK</a> in ein beliebiges Verzeichnis. Wir empfehlen die Installation von <a href="#referenziertesoftware">J2SE 1.4.2 SDK</a>. Das Wurzelverzeichnis der J2SE SDK Installation wird im weiteren Verlauf als <code>$JAVA_HOME</code> bezeichnet. </dd> <dt>Installation von Apache Tomcat 4.1</dt> <dd> Installieren Sie <a href="#referenziertesoftware">Apache Tomcat 4.1.18</a> oder höher in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enthält. Wir empfehlen die Installation von <a href="#referenziertesoftware">Apache Tomcat 4.1.30</a>. Verwenden Sie bitte die zu Ihrem J2SE SDK passende Distribution von Tomcat. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als <code>$CATALINA_HOME</code> bezeichnet.</dd> <dt>Entpacken der MOA SP/SS Webservice Distribution</dt> <dd> Entpacken Sie die Datei <code>moa-spss-1.2.x.zip</code> in ein beliebiges Verzeichnis. Dieses Verzeichnis wird im weiteren Verlauf als <code>$MOA_SPSS_INST</code> bezeichnet. </dd> <dt>Installation der mitgelieferten Krypographiebibliotheken</dt> <dd> <p>Die Installation der mitgelieferten Kryptographiebibliotheken des <a href="http://jce.iaik.tugraz.at/" target="_blank">IAIK</a> ist abhängig vom eingesetzten J2SE SDK:</p> <dl> <dt>J2SE 1.3.1 SDK</dt> <dd>Kopieren Sie alle Dateien aus dem Verzeichnis <code>$MOA_SPSS_INST/ext13</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>.</dd> <dt>J2SE 1.4.2 SDK</dt> <dd>Kopieren Sie alle Dateien aus dem Verzeichnis <code>$MOA_SPSS_INST/ext14</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>. Zusätzlich müssen Sie die Rechtedateien Ihres J2SE 1.4.2 SDK austauschen. Laden Sie dazu die <span class="term">Unlimited Strength Jurisdiction Policy Files</span> von der <a href="http://java.sun.com/j2se/1.4.2/download.html" target="_blank">J2SE 1.4.2 SDK Downloadseite</a> und folgen Sie der darin enthaltenen Installationsanweisung. </dd> </dl> </dd> </dl> <h4><a name="webservice_basisinstallation_installation_tomcatconfig" id="webservice_basisinstallation_installation_tomcatconfig"></a>2.1.2.2 Konfiguration von Apache Tomcat</h4> <p> Die zentrale Konfigurations-Datei von Tomcat ist <code>$CATALINA_HOME/conf/server.xml</code>. Tomcat wird grundsätzlich mit einer funktionierenden Default-Konfiguration ausgeliefert, die jedoch einiges an Ballast enthält und viele Ports offen lässt. </p> <h5>Konfiguration des HTTP Connectors</h5> <p> Die Datei <code>$MOA_SPSS_INST/tomcat/server.xml</code> enthält eine minimale Tomcat-Konfiguration, die ausschließlich den Connector für HTTP auf Port 8080 freischaltet. Durch kopieren dieser Datei nach <code>$CATALINA_HOME/conf/server.xml</code> kann Tomcat mit dieser Konfiguration gestartet werden. Wir empfehlen diese Konfiguration nur für Fälle, in denen das MOA SP/SS Webservice in einer abgeschlossenen Netzwerkumgebung betrieben wird. </p> <h5>Konfiguration des HTTPS Connectors</h5> <p>Wird das MOA SP/SS Webservice in einer nicht abgeschlossenen Umgebung (z.B. Erreichbarkeit über das Internet) betrieben, ist die gegenseitige Identitätsfeststellung von Kunde und Webservice essentiell: </p> <ul> <li> Nutzt ein Kunde MOA SP, ist es für ihn wichtig, die Identität des Webservice eindeutig feststellen zu können, denn er vertraut dem Webservice ja die Prüfung einer elektronischen Signatur an.</li> <li>Nutzt ein Kunde MOA SS, ist es für ihn wesentlich, dass nur er Zugriff auf die für ihn vom Webservice verwalteten privaten Schlüssel hat, um elektronische Signaturen zu erstellen. Das Webservice muss also die Identität des Kunden prüfen. </li> </ul> <p>Beide Identitätsprüfungen können mit hoher Qualität vorgenommen werden, wenn die Erreichbarkeit des Webservice auf SSL mit Server- (für MOA SP) bzw. Client- und Serverauthentisierung (für MOA SS) eingeschränkt wird. </p> <p>Für die dazu notwendige Konfiguration kann die im vorigen Abschnitt besprochene minimale Tomcat-Konfiguration als Ausgangspunkt verwendet werden: Zunächst ist der HTTP Connector abzuschalten (auszukommentieren). Anschließend ist der HTTPS Connector zu konfigurieren. Das Dokument <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/ssl-howto.html">Tomcat SSL Configuration HOW-TO </a> gibt einen guten Überblick dazu. Grob zusammengefasst sind folgende Schritte durchzuführen: </p> <ul> <li>Erstellung eines <span class="term">Server-Keystores</span>, der den privaten Schlüssel sowie das zugehörige Zertifikat des Webservices enthält, mit dem es sich bei Aufbau einer SSL-Verbindung gegenüber dem Kunden ausweist.sowie das dazugehörige ZertiServer-Zertifikat enthält. Sie können diesen Keystore z.B. mit <code>keytool</code> erstellen, einem Programm, das Ihrem J2SE SDK beiliegt.</li> <li>Erstellung eines <span class="term">Client-Keystores</span>, der die Zertifikate aller Kunden des Webservices enthält. Nur Kunden des Webservices, die sich beim Aufbau einer SSL-Verbindung gegenüber dem Webservice mit einem im <span class="term">Client-Keystore</span> enthaltenen Zertifikat ausweisen, erhalten grundsätzlich Zugriff zu den Diensten des Webservices (für die Konfiguration, welcher Kunde welche Schlüssel von MOA SS verwenden darf, siehe <span class="comment">TBD</span>). Auch dieser Keystore kann z.B. mit <code>keytool</code> erstellt werden. Dieser Keystore ist optional und braucht nur erstellt zu werden, wenn sich die Kunden gegenüber dem Webservice authentisieren müssen. </li> <li>Konfiguration des HTTPS Connectors in <code>$CATALINA_HOME/conf/server.xml</code>.</li> </ul> <p>Die Konfiguration des HTTPS Connectors kann entfallen, wenn Tomcat ein Webserver vorgeschaltet ist, und dieser die SSL-Kommunikation mit dem Kunden übernimmt (siehe <a href="#webservice_erweiterungsmöglichkeiten_webserver">Abschnitt 2.2.1</a>).</p> <h5>Einrichten des MOA SP/SS Administrators </h5> <p>Das MOA SP/SS Webservice kann <span class="term">remote</span> durch den Aufruf einer speziellen URL des Webservices dazu veranlasst werden, seine Konfiguration neu einzulesen. Der Zugriff auf diese URL ist durch eine Passwort-Abfrage geschützt, und kann nur von Tomcat-Benutzern aufgerufen werden, denen die Tomcat-Benutzer-Rolle <code>moa-admin</code> zugeordnet wurde.</p> <p> Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, müssen in der Datei <code>$CATALINA_HOME/conf/tomcat-users.xml </code>unter dem Element <code><tomcat-users></code> sinngemäß folgende Einträge hinzugefügt werden: </p> <p> <pre><role rolename="moa-admin"/> <user username="moa-chief" password="openSesam" roles="moa-admin"/> </pre> <p>Soll der Aufruf dieser URL niemandem ermöglicht werden, sind die oben beschriebenen Einträge einfach nicht vorzunehmen.</p> <h2><a name="webservice_erweiterungsm�glichkeiten" id="webservice_erweiterungsm�glichkeiten"></a>2.2 Erweiterungsmöglichkeiten</h2> <p>Ausgehend von der <a href="#webservice_basisinstallation">Basisinstallation</a> können die optionalen Erweiterungen, die in den nachfolgenden Abschnitten beschrieben werden, unabhängig und in beliebiger Kombination aufgesetzt werden.</p> <h3><a name="webservice_erweiterungsm�glichkeiten_webserver" id="webservice_erweiterungsm�glichkeiten_webserver"></a>2.2.1 Vorgeschalteter Webserver</h3> <h4><a name="webservice_erweiterungsm�glichkeiten_webserver_apache" id="webservice_erweiterungsm�glichkeiten_webserver_apache"></a>2.2.1.1 Apache</h4> <h4><a name="webservice_erweiterungsm�glichkeiten_webserver_iis" id="webservice_erweiterungsm�glichkeiten_webserver_iis"></a>2.2.1.2 Microsoft Internet Information Server</h4> <h3><a name="webservice_erweiterungsm�glichkeiten_datenbank" id="webservice_erweiterungsm�glichkeiten_datenbank"></a>2.2.2 Datenbank</h3> <h4><a name="webservice_erweiterungsm�glichkeiten_datenbank_postgresql" id="webservice_erweiterungsm�glichkeiten_datenbank_postgresql"></a>2.2.2.1 PostgreSQL</h4> <h4><a name="webservice_erweiterungsm�glichkeiten_datenbank_oracle" id="webservice_erweiterungsm�glichkeiten_datenbank_oracle"></a>2.2.2.2 Oracle</h4> <h3><a name="webservice_erweiterungsm�glichkeiten_hsm" id="webservice_erweiterungsm�glichkeiten_hsm"></a>2.2.3 Hardware Security Module (HSM)</h3> <h1><a name="klassenbibliothek"></a>3 Klassenbibliothek</h1> <p>Dieser Abschnitt beschreibt die Verwendung von MOA SP/SS als Klassenbibliothek. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsmöglichkeiten auf.</p> <h2><a name="klassenbibliothek_basisinstallation" id="klassenbibliothek_basisinstallation"></a>3.1 Basisinstallation</h2> <h3><a name="klassenbibliothek_basisinstallation_einführung" id="klassenbibliothek_basisinstallation_einführung"></a>3.1.1 Einführung </h3> <p>Die Basisinstallation der Klassenbibliothek stellt einerseits die minimalen Anforderungen für den Einsatz von MOA SP/SS als Klassenbibliothek dar, andererseits dient sie als Ausgangspunkt für optionale Erweiterungsmöglichkeiten.</p> <p> Folgende Software ist Voraussetzung für die Basisinstallation der Klassenbibliothek: </p> <ul> <li><a href="#referenziertesoftware">J2SE 1.3.1 JRE</a> oder <a href="#referenziertesoftware">J2SE 1.4.2 JRE</a> </li> </ul> <p>Die MOA SP/SS Klassenbibliothek verwendet Log4j als Logging Toolkit.</p> <h3><a name="klassenbibliothek_basisinstallation_installation" id="klassenbibliothek_basisinstallation_installation"></a>3.2.1 Installation </h3> <h2><a name="klassenbibliothek_erweiterungsm�glichkeiten" id="klassenbibliothek_erweiterungsm�glichkeiten"></a>3.2 Erweiterungsmöglichkeiten </h2> <h3><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank"></a>3.2.1 Datenbank</h3> <h4><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_postgresql" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_postgresql"></a>3.2.1.1 PostgreSQL</h4> <h4><a name="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_oracle" id="klassenbibliothek_erweiterungsm�glichkeiten_datenbank_oracle"></a>3.2.1.2 Oracle</h4> <h3><a name="klassenbibliothek_erweiterungsm�glichkeiten_hsm" id="klassenbibliothek_erweiterungsm�glichkeiten_hsm"></a>3.2.2 Hardware Security Module (HSM)</h3> <h1><a name="referenziertesoftware"></a>A Referenzierte Software</h1> <p>Auf folgende Software-Pakete wird in diesem Handbuch verwiesen:</p> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <th scope="col">Name</th> <th scope="col">Beschreibung</th> </tr> <tr> <td><a href="http://jakarta.apache.org/tomcat/index.html" target="_blank">Apache Tomcat 4.1.x </a></td> <td>Servlet-Container des Apache Jakarta Projekts in der Version 4.1.x </td> </tr> <tr> <td><a href="http://java.sun.com/j2se/1.3.1/" target="_blank">J2SE 1.3.1 SDK/JRE</a> </td> <td>Java 2 Standard Edition in der Version 1.3.1 (Software Development Kit bzw. Java Runtime Environment) </td> </tr> <tr> <td><a href="http://java.sun.com/j2se/1.4.2/" target="_blank">J2SE 1.4.2 SDK/JRE</a></td> <td>Java 2 Standard Edition in der Version 1.4.2 (Software Development Kit bzw. Java Runtime Environment) </td> </tr> <tr> <td> </td> <td> </td> </tr> <tr> <td> </td> <td> </td> </tr> <tr> <td> </td> <td> </td> </tr> <tr> <td> </td> <td> </td> </tr> <tr> <td> </td> <td> </td> </tr> <tr> <td> </td> <td> </td> </tr> </table> <p> </p> <p> </p> </body> </html>