<html> <head> <title>FAQs - H�ufig gestellte Fragen </title> <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> <meta content="heinz.rosenkranz@brz.gv.at" name="author"/> <style type="text/css"> body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#c0c0c0; background:#505050} li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } #titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; } #subtitel { font-family:"Verdana", "Arial"; font-size:12pt; font-weight:bold; color:#505060; } #slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px } #block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify } #klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:6px } a:link {color:#000090} a:visited {color:#000090} a:hover {color:#c03030} a {text-decoration: none} </style> <script language="JavaScript"> <!-- function goWin(url) { Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0"); window.setTimeout("showWin()",300); } function showWin() { Fenster.focus(); } // --> </script> </head> <body bgcolor="#FFFFFF" > <div style="width:650px"> <!-- Projekt-Logo --> <div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">  Module f�r Online-Applikationen </div> <div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; "> <!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->  </div> <div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > Projekt <span style="font-size:48pt; ">moa</span>  </div> <br /> <!-- First Section with Navigation --> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top"> <div style="font-weight:bold; margin-top:12px">FAQs</div><br /> <div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> <b> Zur�ck</b></a></div> <br /> <!-- div id="slogan"> MOA ist eine Entwicklung des Bundesrechenzentrums BRZ in Zusammenarbeit mit A-Trust und dem Institut f�r angewandte Informations- und Kom-munikationstechnik (IAIK) der Universit�t Graz </div --> </td> <td valign="top"> <div id="titel">FAQs - H�ufig gestellte Fragen </div> <div id="Administration" /> <p id="subtitel">Fragen - Übersicht</p> <p id="block"><b><a href="#frage1">Frage</a><a href="#frage4"> </a><a href="#frage1">1</a></b> Beim Starten von MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException: iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?</p> <p id="block"><b><a href="#frage2">Frage</a><a href="#frage4"> </a><a href="#frage2">2</a></b> Ich möchte gerne die CRL-Archivierung von MOA verwenden, möchte aber eine andere als die in der Konfiguration erwähnte postgreSQL-Datenbank verwenden. Geht das?</p> <p id="block"><b><a href="#frage3">Frage</a><a href="#frage4"> </a><a href="#frage3">3</a></b> Bei der Prüfung einer Signatur liefert die Prüfung des Zertifikatsstatus den Code <tt>1</tt>. Was kann der Fehler sein?</p> <p id="block"><b><a href="#frage4">Frage 4</a></b> Ich möchte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das?</p> <p id="block"><b><a href="#frage5">Frage 5</a></b> Ich möchte MOA SS/SP in einer Umgebung betreiben, die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert das?</p> <hr> <p id="subtitel"><a name="frage1"></a>Frage 1</p> <p id="block"><b>Q: </b>Beim Starten von MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException: iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?</p> <p id="block"> <b>A:</b> Auf Grund einer mangelhaften Implementierung in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate() einen Downcast vom Interface java.security.Principal auf die eigene Implementierung, was zu einer ClassCastException f�hrt, wenn der JCE-Provider von Sun nicht an erster Stelle in der List der Security-Provider installiert ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration noch nicht installiert war. Wird dann von irgendeinem ClassLoader der jar-Verifier benützt, wird PKCS7.getCertificate() verwendet, und es kommt zu einer ClassCastException. </p> <p id="block"> Wird MOA �ber die API-Schnittstelle verwendet, ist ein Workaround die manuelle Installation des IAIK-JCE-Providers nach dem Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration aufgerufen wird. Bei Verwendung der Webservices ist die M�glichkeit der statischen Konfiguration der JCE-Provider mittels Angabe in der Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte Workaround. Hierzu m�ssen die Eintr�ge <pre> security.provider.1=sun.security.provider.Sun security.provider.2=com.sun.rsajca.Provider </pre> durch folgenden Eintrag erg�nzt werden: <pre> security.provider.3=iaik.security.provider.IAIK </pre> <p></p> <hr> <p id="subtitel"><a name="frage2"></a>Frage 2</p> <p id="block"><b>Q: </b>Ich möchte gerne die CRL-Archivierung von MOA verwenden, möchte aber eine andere als die in der Konfiguration erwähnte postgreSQL-Datenbank verwenden. Geht das?</p> <p id="block"> <b>A:</b> Ja, das ist möglich. Wenn Sie eine mySQL-Datenbank verwenden möchten, sind folgende Maßnahmen zu treffen:</p> </div> <ul> <div id="block"> <li> <a href="http://www.mysql.com/downloads/api-jdbc.html" target="_blank">Laden</a> Sie den mySQL-JDBC-Connector herunter und fügen Sie das im Download enthaltene jar-File <tt>mysql-connector-java-3.x.x-stable-bin.jar</tt> zum Klassenpfad für MOA SPSS hinzu. </li> <li>Geben Sie im MOA-Konfigurationsfile mit Hilfe des generischen Konfigurationsparameters <tt><a href="sp-admin_2.htm#DataBaseArchiveParameter.JDBCUrl">DataBaseArchiveParameter.JDBCUrl</a></tt> eine gültige JDBC-URL zu Ihrer mySQL-Datenbank angeben. Hinweise zum Format dieser URL für mySQL finden Sie <a href="http://www.mysql.com/documentation/connector-j/index.html" target="_blank">hier</a>. </li> </div> </ul> <p id="block">Wenn Sie eine andere Datenbank verwenden möchten, beispielsweise <a href="http://otn.oracle.com/software/tech/java/sqlj_jdbc/content.html" target="_blank">Oracle</a>, gehen Sie sinngemäß wie oben vor und setzen zusätzlich noch folgenden Schritt:</p> <ul> <li> <div id="block">Geben Sie im MOA-Konfigurationsfile mit Hilfe des generischen Konfigurationsparameters <tt><a href="sp-admin_2.htm#DataBaseArchiveParameter.JDBCDriverClass">DataBaseArchiveParameter.JDBCDriverClass</a></tt> den vollständig qualifizierten Klassennamen des JDBC-Treibers an, der die Verbindung zu Ihrer Datenbank herstellt.</div> </li> </ul> <p></p> <hr> <p id="subtitel"><a name="frage3"></a>Frage 3</p> <p id="block"><b>Q: </b>Bei der Prüfung einer Signatur liefert die Prüfung des Zertifikatsstatus den Code <tt>1</tt>. Was kann der Fehler sein?</p> <p id="block"> <b>A:</b> Dieser Fehlercode bedeutet: Es konnte keine formal korrekte Zertifikatskette vom Signatorzertifikat zu einem vertrauenswürdigen Wurzelzertifikat konstruiert werden. Das kann grundsätzlich eine der beiden folgenden Ursachen haben:</p> <ul> <div id="block"> <li>Keines der Zertifikate in der Kette vom Signatorzertifikat bis zu einem selbstsignierten Wurzelzertifikat ist im anzuwendenden <tt>TrustProfile</tt> enthalten.</li> <li>Die Zertifikatskette konnte nicht bis zu einem im anzuwendenden TrustProfile enthaltenen vertrauenswürdigen Zertifikat gebildet werden. </li> </div> </ul> <p id="block">Prüfen Sie also zunächst, ob sie im anzuwendenden <tt>TrustProfile</tt> ein passendes vertrauenswürdiges Zertifikat konfiguriert haben. Das kann beispielsweise das Zertifikat jener CA sein, die das Signatorzertifikat ausgestellt hat, oder aber auch das Zertifikat einer CA weiter oben in der Hierarchie des Zertifizierungsdiensteanbieters, beispielsweise das selbstsignierte Wurzelzertifikat.</p> <p id="block">Wenn diese Prüfung das Problem nicht behebt, gelingt des MOA SP vermutlich nicht, ein für die Bildung der Zertifikatskette notwendiges Zertifikat zu lokalisieren. Mögliche Gründe sowie Lösungsmöglichkeiten dafür sind:</p> <ul> <div id="block"> <li>Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette besitzt zwar die Zertifikatserweiterung AuthorityInformationAccess mit einem Hinweis auf das nächste Zertifikat der zu bildenden Kette, das darin per URL referenzierte Zertifikat kann jedoch nicht geladen werden. Prüfen Sie daher zunächst, ob MOA SP/SS per HTTP oder LDAP Zugriffe nach außen tätigen darf.</li> <li>Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette besitzt keine Zertifikatserweiterung AuthorityInformationAccess mit einem Hinweis auf das nächste Zertifikat der zu bildenden Kette, und auch im internen Zertifikatsspeicher von MOA SP ist das nächste Zertifikat nicht enthalten. Ist Ihnen das nächste Zertifikat bekannt (z.B. durch manuellen Download von der Webseite des Zertifizierungsdiensteanbieters), können Sie es manuell in den internen Zertifikatsspeicher importieren. Eine Anleitung dazu finden Sie <a href="#frage4">hier</a>.</li> </div> </ul> <p></p> <hr> <p id="subtitel"><a name="frage4"></a>Frage 4</p> <p id="block"><b>Q: </b>Ich möchte ein Zertifikat (z.B. einer Zwischenzertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das?</p> <p id="block"> <b>A:</b> Sie können für diesen Zweck ein mit MOA SP/SS mitgeliefertes Kommandozeilen-Tool verwenden, das Sie im Verzeichnis <tt>$MOA_SPSS_INST/tools</tt> finden. Wechseln Sie zu diesem Verzeichnis und rufen Sie die Script-Datei <tt>certtools.bat</tt> bzw. <tt>certtools.sh</tt> (je nach Betriebssystem) auf. Achten Sie darauf, dass die Umgebungsvariable <tt>$JAVA_HOME</tt> korrekt gesetzt ist. Die Syntax für dieses Tool lautet:</p> <blockquote> <p><tt>certtool -add <cert> <store></tt></p> </blockquote> <p id="block"><tt><cert></tt> bezeichnet dabei Pfad und Dateiname des zu importierenden X509-Zertifikats. Das Zertifikat muss DER-kodiert vorliegen.</p> <p id="block"><tt><store></tt> bezeichnet den Pfad des internen Zertifikatsspeichers von MOA SP. Wenn Sie nach der Installationsanleitung vorgegangen sind, lautet dieser Pfad <tt>$CATALINA_HOME/conf/moa-spss/certstore</tt>.</p> <hr> <p id="subtitel"><a name="frage5"></a>Frage 5</p> <div id="block"> <p id="block"><b>Q: </b>Ich möchte MOA SS/SP in einer Umgebung betreiben, die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert das?</p> <p id="block"> <b>A:</b> Ja, zumindest für Zugriffe über HTTP. Sie müssen dazu die nachfolgenden JAVA System-Properties setzen:</p> <blockquote> <p><tt>http.proxyHost=<proxyhost><br> http.proxyPort=<proxyport><br> http.nonProxyHosts="<exceptionhosts>"</tt></p> </blockquote> <p><tt><proxyhost></tt> gibt den Namen oder die IP-Adresse des Proxies an.</p> <p><tt><proxyport></tt> gibt den Port des Proxies an.</p> <p><tt><exceptionhosts></tt> enthält eine Liste von Rechnernamen, die nicht über den Proxy laufen sollen. Jedenfalls müssen sie hier <tt>localhost</tt> angeben. Einzelne Namen sind durch eine Pipe (<tt>|</tt>) zu trennen. Bitte beachten Sie, dass IP-Addressen nicht angegeben werden dürfen, sowie die verpflichtend zu verwendenen Anführungszeichen.</p> </div> </td> </tr></table> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top"><br /></td> <td valign="top"> <hr /> <div style="font-size:8pt; color:#909090">© 2003 <!-- Development Center, BRZ GmbH --></div> </td></tr></table> <br /> </div> </body> </html>