<html> <head> <title>MOA SP/SS-Administration</title> <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> <meta content="heinz.rosenkranz@brz.gv.at" name="author"/> <style type="text/css"> body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050} li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } tt { font-size:9pt; color:#505060; } #titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; } #subtitel { font-family:"Verdana", "Arial"; font-size:12pt; font-weight:bold; color:#505060; } #slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px } #block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify } #klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px } #info { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; padding:3px; border:solid 1px #c0c0c0 } #infolist { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; } a:link {color:#000090} a:visited {color:#000090} a:hover {color:#c03030} a {text-decoration: none} </style> <script language="JavaScript"> <!-- function goWin(url) { Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0"); window.setTimeout("showWin()",300); } function showWin() { Fenster.focus(); } // --> </script> </head> <body bgcolor="#FFFFFF" > <div style="width:650px"> <!-- Projekt-Logo --> <div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">  Module f�r Online-Applikationen </div> <div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; "> <!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->  </div> <div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > Projekt <span style="font-size:48pt; ">moa</span>  </div> <br /> <!-- First Section with Navigation --> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top"> <div style="font-weight:bold; margin-top:12px">MOA-SP/SS</div><br /> <div id="klein"><a href="sp-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> <b> �bersicht</b></a></div> <div id="klein"><a href="sp-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> <b> Basis-Installation<br />    (Webservice)</b></a></div> <div id="klein"><a href="sp-admin_4.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> <b> Basis-Installation<br />    (Klassenbibliothek)</b></a></div> <div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> <b> Konfiguration </b></div> <div id="klein"><a href="sp-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> <b> Optionale<br />    Komponenten</b></a></div> <br /> <div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> <b> Zur�ck</b></a></div> <br /><br /> <div id="slogan"> <b>Beispiele </b> <br /><br /> <a href="examples/conf/MOA-SPSSConfiguration.xml" target="_new"><b>Konfigurationsdatei</b></a><br /><br /> <a href="#minimal-config"><b>Minimale Konfiguration</b></a><br /><br /> <a href="#online-config"><b>�nderung der Konfig. <br />w�hrend des Betriebs</b></a><br /> <br /><br /> <b>Parameter-�bersicht </b><br /> <a href="#CanonicalizationAlgorithm">CanonicalizationAlgorithm</a><br /> <a href="#DigestMethodAlgorithm">DigestMethodAlgorithm</a><br /> <a href="#GenericConfiguration">GenericConfiguration</a><br /> <a href="#HardwareKeyModule">HardwareKeyModule</a><br /> <a href="#KeyGroup">KeyGroup</a><br /> <a href="#KeyGroupMapping">KeyGroupMapping</a><br /> <a href="#ChainingModes">ChainingModes</a><br /> <a href="#CRLArchive">CRLArchive</a><br /> <a href="#CRLDistributionPoint">CRLDistributionPoint</a><br /> <a href="#Create">CreateSignatureEnv...</a><br /> <a href="#Create">CreateTransformsInfo</a><br /> <a href="#Create">VerifyTransformsInfo</a><br /> <a href="#Create">SupplementProfile</a><br /> <a href="#TrustProfile">TrustProfile</a><br /> <br /> </div> </td> <td valign="top"> <div id="titel">Konfiguration der SP/SS-Module</div> <div id="konfigurationsdatei" /> <p id="subtitel">SP/SS-Konfigurationsdatei</p> <p id="block"> Die Konfiguration von MOA SP/SS wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema <a href="MOA-SPSS-Configuration-1.0.xsd" target="_new">MOA-SPSS-Configuration-1.0.xsd</a> entspricht, durchgef�hrt. <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="sp-admin_1.htm#deployment">Deployment der Web-Applikation in Tomcat</a> beschrieben. <p /> Die folgenden Abschnitte erl�utern das Format der Konfigurationsdatei. <a href="examples/conf/MOA-SPSSConfiguration.xml" target="_new">MOA-SPSSConfiguration.xml</a> zeigt ein Beispiel f�r eine umfassende Konfigurationsdatei. </p> Enth�lt die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem die Konfigurationsdatei gespeichert ist, interpretiert. <div id="CanonicalizationAlgorithm" /> <p id="block"> <b>CanonicalizationAlgorithm</b> <br /> Als Inhalt des Elements <tt>CanonicalizationAlgorithm</tt> kann der Kanonisierungs-Algorithmus, der f�r das Erstellen von XML Signaturen verwendet werden soll und in der Signatur als Inhalt von <tt>/dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</tt> aufscheint, spezifiziert werden. <br /><br /> G�ltige Werte:<br /> <tt>http://www.w3.org/TR/2001/REC-xml-c14n-20010315<br /> http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments<br /> http://www.w3.org/2001/10/xml-exc-c14n#<br /> http://www.w3.org/2001/10/xml-exc-c14n#WithComments<br /> </tt> <br /> Default-Wert: <br /><tt>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 </tt> <br /><br /> </p> <div id="DigestMethodAlgorithm" /> <p id="block"> <b>DigestMethodAlgorithm</b><br /> Als Inhalt des Elements <tt>DigestMethodAlgorithm</tt> kann der Digest-Algorithmus spe�zi�fi�ziert werden, der in der Signatur als Inhalt von <tt>dsig:Reference/dsig:DigestMethod aufscheint</tt>. <br /><br /> G�ltige Werte: <br /><tt>http://www.w3.org/2000/09/xmldsig#sha1</tt> <br /><br /> Default-Wert: <br /><tt>http://www.w3.org/2000/09/xmldsig#sha1</tt> <br /><br /> </p> <div id="GenericConfiguration" /> <p id="block"> <b>GenericConfiguration</b><br /> Das Element <tt>GenericConfiguration</tt> erm�glicht das Setzen von Namen-Werte Paaren mittels der Attribute <tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert <ul> <li>g�ltige Werte f�r das name-Attribut, </li> <li>eine Beschreibung </li> <li>g�ltige Werte f�r das value-Attribut und </li> <li>den Default-Wert f�r das value-Attribut. </li> </ul> <table border="0" cellspacing="3" cellpadding="2"> <tr><th align="left">name: autoAddCertificate</th></tr> <tr><td id="info"> Gibt an, ob Zertifikate, die in der Signtur enthalten sind bzw. bei der Zertifikatspfaderstellung verwendet werden, automatisch im Zertifikatsspeicher (siehe Parameter <a href="#DirectoryCertStoreParameters.RootDir"><tt>DirectoryCertStoreParameters.RootDir</tt></a>) gespeichert werden sollen (siehe auch Parameter <a href="#useAuthorityInfoAccess"> <tt>useAuthorityInfoAccess</tt></a>).<br /> <hr /> <b>value: </b><br /> G�ltige Werte: <tt>true/false</tt><br /> Default-Wert: <tt>true</tt> </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr> <tr><td id="info"> Gibt den Pfadnamen zum Verzeichnis an, das als Zertifikatsspeicher verwendet wird. <br /> <hr /> <b>value: </b><br /> G�ltige Werte: Name eines Verzeichnisses, das Verzeichnis muss noch nicht existieren <br /> Default-Wert: certstore </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr id="useAuthorityInfoAccess"><th align="left">name: useAuthorityInfoAccess</th></tr> <tr><td id="info"> Gibt an, ob die Zertifikatserweiterung <tt>AuthorityInformationAccess</tt> f�r die Zertifikatspfaderstellung verwendet werden soll. Wird der Wert auf <tt>true</tt> gesetzt, dann setzt MOA auch <tt>autoAddCertificate</tt> automatisch auf <tt>true</tt> und ignoriert den Wert aus der Konfigurationsdatei.<br /> <hr /> <b>value: </b><br /> G�ltige Werte: <tt>true/false</tt><br /> Default-Wert: <tt>true</tt> </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr id="checkRevocation"><th align="left">name: checkRevocation</th></tr> <tr><td id="info"> Gibt ab, ob bei der Zertifikats�berpr�fung auch der Zertifikatsstatus �berpr�ft werden soll. Der Zertifikatsstatus wird mittels Certificate Revocation Lists (CRL) �berpr�ft.<br /> <hr /> <b>value: </b><br /> G�ltige Werte: <tt>true/false</tt><br /> Default-Wert: <tt>true</tt> </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr><th align="left">name: maxRevocationAge</th></tr> <tr><td id="info"> Wenn der Zertifikatsstatus �berpr�ft werden soll (siehe Parameter <a href="#checkRevocation"><tt>checkRevocation</tt></a>), gibt dieser Parameter an, wann eine aktuelle Revozierungsinformation (CRL) geladen werden soll. <br /> <hr /> <b>value: </b><br /> G�ltige Werte: <ul id="infolist"> <li id="infolist">negativer Wert: bei jedem Zugriff auf Revozierungsinformation wird eine aktuelle Revozierungsinformation geladen</li> <li id="infolist">0: eine neue Revozierungsinformation wird zu dem Zeitpunkt geladen, der im nextUpdate-Feld der CRL spezifiziert ist</li> <li id="infolist">positiver Wert: Zeitspanne in Millisekunden, die eine Revozierungsinformation ohne neuerliche Abfrage verwendet werden darf</li> </ul> Default-Wert: 0 </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr><th align="left">name: archiveRevocationInfo</th></tr> <tr><td id="info"> Gibt an, ob Revozierungsinformation archiviert werden soll (siehe auch Parameter <a href=#DataBaseArchiveParameter.JDBCUrl"><tt>DataBaseArchiveParameter.JDBCUrl</tt></a>). <br /> <hr /> <b>value: </b><br /> G�ltige Werte: <tt>true/false</tt><br /> Default-Wert: <tt>false</tt> </td></tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr id="DataBaseArchiveParameter.JDBCUrl"> <th align="left">name: DataBaseArchiveParameter.JDBCUrl</th> </tr> <tr> <td id="info"> Gibt eine JDBC-URL zur Datenbank an, in der Revozierungsinformation archiviert werden soll. Wird dieser Parameter nicht gesetzt, dann wertet MOA den Parameter <tt>archiveRevocationInfo</tt> nicht aus der Konfigurationsdatei aus sondern setzt den Wert automatisch auf <tt>false</tt>. <br /> Der genaue Aufbau der JDBC-URL ist abh�ngig von der verwendeten Datenbank. Im Fall von PostgreSQL kann folgende URL verwendet werden: <tt>jdbc:postgresql://host/moadb?user=moauser&amp;password=moapassword</tt> wobei <tt>host, moadb, moauser</tt> und <tt>moapassword</tt> an die tats�chlich verwendete Datenbank angepasst werden muss.<br /> Die Verwendung von <tt>"&amp"</tt> ist erforderlich, da <tt>"&"</tt> einen Fehler bei der Validierung der Konfigurationsdatei verursacht. <br /> Die Archivdaten werden nur MOA-SPSS-intern ben�tigt und das Format ist daher f�r den Betrieb des Servers nicht relevant. <hr /> <b>value: </b><br /> G�ltige Werte: String </td> </tr> </table> <table border="0" cellspacing="3" cellpadding="2"> <tr id="DataBaseArchiveParameter.JDBCDriverClass"> <th align="left">name: DataBaseArchiveParameter.JDBCDriverClass</th> </tr> <tr> <td id="info"> <p>Dieser Parameter kann verwendet werden, um MOA SPSS den Klassennamen des JDBC-Datenbanktreibers bekannt zu geben, der zur Ansprache der für die CRL-Archivierung zu verwendenden Datenbank benützt werden soll. Er muss den vollständig qualifizierten Klassennamen der JDBC-Treiberklasse enthalten. </p> <p>Der Parameter wird nur dann ausgewertet, wenn der generische Konfigurationsparameter <tt>archiveRevocationInfo</tt> auf den Wert <tt>true</tt> gesetzt ist. <p>Hinweis: Wird im generischen Konfigurationsparameter <tt>DataBaseArchiveParameter.JDBCUrl</tt> entweder eine postgreSQL- oder eine mySQL-Datenbank referenziert, braucht dieser Paramter nicht angegeben zu werden; in diesen Standardfällen erfolgt eine automatische Zuordnung zur passenden JDBC-Treiberklasse. <hr /> <b>value: </b><br /> G�ltige Werte: vollständig qualifizierter Java-Klassenname</td> </tr> </table> <p></p> <div id="HardwareKeyModule" /> <p id="block"> <b>HardwareKeyModule</b><br /> Mittels dieses Elements werden Hardware-Key-Module konfiguriert. HardwareKeyModule hat vier Attribute: <br /><br /> <table border="0" cellspacing="3" cellpadding="2"> <tr><th>Attribut-Name</th><th>Attribut-Typ</th><th>Beschreibung </th> </tr> <tr> <td valign="top" id="info">id</td><td valign="top" id="info">token</td> <td id="info">eine vom Administrator gew�hlte Bezeichnung f�r das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.</td> </tr> <tr> <td valign="top" id="info">name</td><td valign="top" id="info">string</td> <td id="info">der Name des PKCS#11-Moduls; der Name enth�lt den Dateinamen der DLL (Windows) oder der Shared-Library (Unix), die das PKCS#11-Modul implementiert; der Wert enth�lt entweder einen Dateinamen mit absoluter Pfadangabe bzw. einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname relativ zum Suchpfad des Betriebssystems interpretiert.</td> </tr> <tr> <td valign="top" id="info">slotID</td><td valign="top" id="info">string</td> <td id="info">ein spezifischer Slot des PKCS#11 HW Moduls; das Attribut ist optional, wird keine slotID spezifiziert, dann selektiert MOA SP/SS einen Slot f�r die Signaturerstellung.</td> </tr> <tr> <td valign="top" id="info">userPIN</td><td valign="top" id="info">string</td> <td id="info">der PIN f�r die Aktivierung des privaten Schl�ssels</td> </tr> </table> <p></p> <div id="SoftwareKeyModule" /> <p id="block"> <b>SoftwareKeyModule</b><br /> Mittels dieses Elements werden Software-Key-Module in Form von PKCS#12-Dateien konfiguriert. SoftwareKeyModule hat drei Attribute: <br /><br /> <table border="0" cellspacing="3" cellpadding="2"> <tr><th>Attribut-Name</th><th>Attribut-Typ</th><th>Beschreibung </th> </tr> <tr id="info"> <td valign="top" id="info">id</td><td valign="top" id="info">token</td> <td id="info">eine vom Administrator gew�hlte Bezeichnung f�r das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.</td> </tr> <tr> <td valign="top" id="info">filename</td><td valign="top" id="info">string</td> <td id="info">der Dateiname der PKCS#12-Datei; das Attribut enth�lt entweder einen absoluten Pfadnamen oder einen Pfadnamen relativ zur MOA SP/SS Konfigurationsdatei.</td> </tr> <tr> <td valign="top" id="info">password</td><td valign="top" id="info">string</td> <td id="info">das Passwort zur Aktivierung des privaten Schl�ssels in der PKCS#12-Datei</td> </tr> </table> <p></p> <div id="KeyGroup" /> <p id="block"> <b>KeyGroup</b><br /> Eine KeyGroup ist eine Zusammenfassung mehreren Keys in eine Gruppe. Der durch das Attribut id definierte Bezeichner dieser KeyGroup wird im CreateXMLSignatureRequest im Element KeyIdentifier verwendet. MOA-SS w�hlt einen Schl�ssel aus der KeyGroup f�r die Signaturerstellung aus. Durch die Zusammenfassung mehrere Schl�ssel in eine Gruppe kann die Verf�gbarkeit und der Durchsatz der Signaturerstellung erh�ht werden. <br /> Das Kind-Element Key identifiziert einen privaten Schl�ssel. Ein Schl�ssel wird durch das Element KeyModuleID (siehe z.B. SoftwareKeyModule/@id), Issuer und Seriennummer des zum Schl�ssel geh�rigen Zertifikats im Element KeyCertIssuerSerial bezeichnet. <br /><br /> Die Konfiguration des Elements Key erfolgt in einem 2-stufigen Prozess: <br /> <ol> <li>Zuerst werden die verwendeten PKCS#12-Dateien und PKCS#11-Module als Elemente HardwareKeyModule und SoftwareKeyModule in der Konfigurationsdatei erfasst</li> <li>Beim Starten des MOA SP/SS-Servers werden die verf�gbaren Schl�ssel im Log-File aufgelistet: <br /><br /> <pre style="font-size:8pt">INFO | 10 12:56:43,023 | main | Key ID=SWKeyModule1; CN=IAIK Test CA,OU=IAIK Test CA, OU=Insitute for Applied Information Processing and Communications, O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT; 1044289238331 INFO | 10 12:56:43,023 | main | Key ID=SWKeyModule2; CN=IAIK Test CA,OU=IAIK Test CA, OU=Insitute for Applied Information Processing and Communications, O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT; 1044289238331 INFO | 10 12:56:43,023 | main | Key ID=SWKeyModule3; CN=IAIK ECDSA Test,OU=JavaSecurity,O=IAIK,C=AT; 68172 INFO | 10 12:56:43,023 | main | Key ID=SWKeyModule4; CN=IAIK DSA Test CA,OU=JavaSecurity,O=IAIK,C=AT; 761791</pre> </li> <li>F�r jeden verf�gbaren Schl�ssel werden die Inhalte der Elemente Key/KeyModuleID, Key/KeyCertIssuerSerial/X509IssuerName und Key/KeyCertIssuerSerial/X509SerialNumber dem Log-File entnommen und in die Konfigurationsdatei eingetragen</li> <li>Nach einem neuerlichen Start von MOA SP/SS stehen die Key-Definitionen zur Verf�gung</li> </ol> <p></p> <p id="block">Sind die zu den zu konfigurierenden Schl�sseln zugeh�rigen Zertifikate bekannt, kann alternativ die Konfiguration in einem Schritt erfolgen, indem die ben�tigten Informationen mit dem Skript <tt>certtool -info <certfilename></tt> aus dem Zertifikat gelesen werden. <tt><certfilename></tt> bezeichnet den Dateinamen eines X.509 Zertifikates in DER-Kodierung. <br /><br /> <tt>certtool</tt> ist im Verzeichnis $MOA_SPSS_INST/tools abgelegt.</p> <div id="KeyGroupMapping" /> <p id="block"> <b>KeyGroupMapping</b><br /> Das Element KeyGroupMapping ordnet einem Client von MOA SS die ihm zur Verf�gung stehenden KeyGroups zu, indem das den Client repr�sentierende TLS Client-Zertifikat (Element <tt>X509IssuerSerial</tt>) mit einer oder mehreren KeyGroups assoziiert wird. <br /><br /> Enth�lt das Element KeyGroupMapping kein Element X509IssuerSerial, dann k�nnen die in diesem Element definierten KeyGroups von jedem Client (auch ohne TLS Client Authentisierung) verwendet werden. </p> <div id="ChainingModes" /> <p id="block"> <b>ChainingModes</b><br /> Das Element ChainingModes definiert, ob bei der Zertifikatspfad�berpr�fung das Kettenmodell ("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll. <br /><br /> Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll. Mit dem Kind-Element TrustAnchor kann f�r jeden Trust Anchor ein abweichendes Modell spezifiziert werden. Ein Trust Anchor ist ein Zertifikat, das im TrustProfile spezifiziert ist (Erkl�rung siehe <a href="#TrustProfile"> <tt>TrustProfile</tt></a>). Ein Trust Anchor wird durch den Typ dsig:X509IssuerSerialType spezifiziert. Das f�r diesen Trust Anchor g�ltige Modell wird durch das Attribut mode spezifiziert. <br /><br /> G�ltige Werte f�r die Attribute systemDefaultMode und mode sind "chaining" und "pkix". </p> <div id="CRLArchive" /> <p id="block"> <b>CRLArchive</b><br /> Im Attribut duration wird spezifiziert, wie lange (in Tagen) gecachte CRLs archiviert werden m�ssen. </p> <div id="CRLDistributionPoint" /> <p id="block"> <b>CRLDistributionPoint</b><br /> Das Element CRLDistributionPoint dient zum Spezifizieren von URLs, die auf CRLs von CAs (Zertifikatsaussteller) verweisen. <br /><br /> Eine CA wird �ber das Element CAIssuerDN identifiziert, das den Issuer-DN der CA als String enth�lt. CRLDistributionPoint kann das Element DistributionPoint einmal oder mehrmals enthalten. Das Element DistributionPoint hat zwei Attribute: <br /> <ul> <li>der Wert des Attributs uri enth�lt den CRL Distribution Point; es werden die Protokolle HTTP, HTTPS und LDAP unterst�tzt.</li> <li>der Wert des optionalen Attributs reasonCodes (vom Typ NMTOKENS) enth�lt eine Liste von Reason Codes (nach RFC 3280). Die �ber uri referenzierte CRL enth�lt nur CRL Eintr�ge mit den spezifizierten Reason Codes. Wird der Wert dieses Attributs nicht gesetzt dann kann die CRL Eintr�ge mit allen reason codes enthalten.<br /> G�ltige Werte:<br /> <tt>unspecified, keyCompromise, cACompromise, affiliationChanged, superseded, cessationOfOperation, certificateHold, removeFromCRL, privilegeWithdrawn, aACompromise</tt></li> </ul> <p></p> <div id="Create" /> <p id="block"> <b>CreateSignatureEnvironmentProfile<br /> CreateTransformsInfoProfile <br /> VerifyTransformsInfoProfile<br /> SupplementProfile</b><br /> Jedes dieser Elemente enth�lt das Attribut id und das Attribut filename. Das Attribut id bezeichnet das Profil wie es im CreateXMLSignatureRequest bzw. VerifyXMLSignatureRequest tats�chlich referenziert wird. Das Attribut filename bezeichnet die Datei, die die entsprechenden Elemente gem�� MOA SP/SS Schemas [MOA SP/SS Schema] beinhaltet. Die Datei beinhaltet wohlgeformtes XML mit genau einem Element als Dokumentelement. <br /><br /> Die folgende Tabelle bezeichnet jene Elemente, die in den Dateien als Dokumentelement verwendet werden m�ssen: <br /><br /> <table border="0" cellspacing="3" cellpadding="2"> <tr><th>Profilname</th><th>Wurzelelement </th> </tr> <tr> <td id="info">CreateSignatureEnvironmentProfile</td><td id="info">CreateSignatureEnvironmentProfile</td> </tr> <tr> <td id="info">CreateTransformsInfoProfile</td><td id="info">CreateTransformsInfoProfile</td> </tr> <tr> <td id="info">VerifyTransformsInfoProfile</td><td id="info">VerifyTransformsInfoProfile</td> </tr> <tr> <td id="info">SupplementProfile</td><td id="info">SupplementProfile</td> </tr> </table> <br /><br /> <p></p> <div id="TrustProfile" /> <p id="block"> <b>TrustProfile</b><br /> Ein TrustProfile enth�lt Zertifikate, die als vertrauensw�rdig betrachtet werden. Vertrauensw�rdige Zertifikate k�nnen selbst-signierte Wurzel-Zertifikate, Zertifikate von Zwischen CAs oder End-Entity Zertifikate sein. F�r die erfolgreiche �berpr�fung eines Zertifikats muss (unter anderem) ein Zertifikatspfad zu einem Zertifikat aufgebaut werden k�nnen, das in jenem Trustprofile enthalten ist, welches im Verify-Request bezeichnet ist.<br /> <br /> TrustProfile enth�lt zwei Attribute: <ul> <li>Das Attribut id spezifiziert die TrustProfileID wie sie im Message-Format von MOA-SP referenziert wird</li> <li>Das Attribut uri spezifiziert eine URL, die ein Verzeichnis im lokalen Dateisystem referenziert (nur das Schema file wird unterst�tzt). Alle f�r diese TrustProfileID vertrauensw�rdigen Zertifikate werden in diesem Verzeichnis gespeichert.</li> </ul> <p></p> </div></div></div></div></div></div></div></div></div></div></div></div></div></td></tr></table> <br /><br /> <div id="minimal-config" /> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top" id="klein"> <p id="subtitel"> </p> <br /> <div id="slogan"> <b>Beispiele</b> <a href="examples/conf/MinimalSPConfig.xml" target="_new">MinimalSPConfig.xml </a> <br /><br /><br /><br /> <br /><br /><br /> <b>Beispiele</b> <a href="examples/conf/MinimalSSConfig.xml" target="_new">MinimalSSConfig.xml </a> </div> </td> <td valign="top"> <p id="subtitel">Minimale Konfigurations-Dateien</p> <div id="block"> <b>MOA-SP</b><br /> Wird nur die Signaturpr�fungs-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten: <br /> <ul> <li>ein Element TrustProfile </li> </ul> </div> <div id="block"> <b>MOA-SS</b> <br /> Wird nur die Server-Signatur-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten: <br /> <ul> <li>ein Element HardwareKeyModule oder SoftwareKeyModule </li> <li>ein Element KeyGroup mit einem Kind-Element Key </li> <li>ein Element KeyGroupMapping mit einem Kind-Element <br />KeyGroup </li> </ul> </div> </td></tr></table> <br /><br /> <div id="online-config" /> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top" id="klein"> <p id="subtitel"> </p> <div id="slogan"> <br /><br /> </div> </td> <td valign="top"> <p id="subtitel">�nderung der Konfiguration w�hrend des Betriebs</p> <div id="block"> Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird (z.B. die Dateien, die die Transformations-Profile enthalten), k�nnen w�hrend des laufenden Betriebes des MOA-Servers ge�ndert werden. Der Server selbst wird durch den Aufruf einer URL im Applikationskontext von MOA SP/SS (siehe <a href="sp-admin_1.htm#ConfigurationUpdate" target="_new">ConfigurationUpdate</a>) dazu veranlasst, die ge�nderte Konfigurati-on neu einzulesen. Im Falle einer fehlerhaften neuen Konfiguration wird die urspr�ngliche Konfiguration beibehalten. <br /><br /> </div> </td></tr></table> <br /><br /> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> <td width="170" valign="top"><br /></td> <td valign="top"> <hr /> <div style="font-size:8pt; color:#909090">© 2003 <!-- Development Center, BRZ GmbH --></div> </td></tr></table> <br /> </div> </div></div></body> </html>