<html>
<head>
	<title>MOA SP/SS-Administration</title>
	<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
	<meta content="heinz.rosenkranz@brz.gv.at" name="author"/>

<style type="text/css">
 	body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
	td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
	th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050}
	li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
	ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
	tt { font-size:9pt; color:#505060; }
	#titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; }
	#subtitel { font-family:"Verdana", "Arial"; font-size:12pt; font-weight:bold; color:#505060; }
	#slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px }
	#block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify }
	#klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px }
	#info { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; padding:3px; border:solid 1px #c0c0c0 }
	#infolist { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; }
	a:link {color:#000090}
	a:visited {color:#000090}
	a:hover {color:#c03030}
	a {text-decoration: none}
</style>

<script language="JavaScript">
<!-- 
function goWin(url) {
	Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0");
	window.setTimeout("showWin()",300);
}
function showWin() { Fenster.focus(); }
// -->
</script>
</head>

<body bgcolor="#FFFFFF" >
<div style="width:650px">

<!-- Projekt-Logo -->
<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">
&#160;Module f�r Online-Applikationen
</div>
<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; ">
<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->&#160;
</div>
<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > 
Projekt <span style="font-size:48pt; ">moa</span>&#160;
</div>
<br />

<!-- First Section with Navigation -->
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170"  valign="top">
<div style="font-weight:bold; margin-top:12px">MOA-SP/SS</div><br />
<div id="klein"><a href="sp-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
	<b> �bersicht</b></a></div>
<div id="klein"><a href="sp-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
	<b> Basis-Installation<br />&#160; &#160;&#160;(Webservice)</b></a></div>
<div id="klein"><a href="sp-admin_4.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
	<b> Basis-Installation<br />&#160; &#160;&#160;(Klassenbibliothek)</b></a></div>
<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> 
	<b> Konfiguration </b></div>
<div id="klein"><a href="sp-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
	<b> Optionale<br />&#160; &#160;&#160;Komponenten</b></a></div>
<br />
<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
	<b> Zur�ck</b></a></div>
<br /><br />
<div id="slogan">
<b>Beispiele </b>
<br /><br />
<a href="examples/conf/MOA-SPSSConfiguration.xml" target="_new"><b>Konfigurationsdatei</b></a><br /><br />
<a href="#minimal-config"><b>Minimale Konfiguration</b></a><br /><br />
<a href="#online-config"><b>�nderung der Konfig. <br />w�hrend des Betriebs</b></a><br />
<br /><br />
<b>Parameter-�bersicht </b><br />
<a href="#CanonicalizationAlgorithm">CanonicalizationAlgorithm</a><br />
<a href="#DigestMethodAlgorithm">DigestMethodAlgorithm</a><br />
<a href="#GenericConfiguration">GenericConfiguration</a><br />
<a href="#HardwareKeyModule">HardwareKeyModule</a><br />
<a href="#KeyGroup">KeyGroup</a><br />
<a href="#KeyGroupMapping">KeyGroupMapping</a><br />
<a href="#ChainingModes">ChainingModes</a><br />
<a href="#CRLArchive">CRLArchive</a><br />
<a href="#CRLDistributionPoint">CRLDistributionPoint</a><br />
<a href="#Create">CreateSignatureEnv...</a><br />
<a href="#Create">CreateTransformsInfo</a><br />
<a href="#Create">VerifyTransformsInfo</a><br />
<a href="#Create">SupplementProfile</a><br />
<a href="#TrustProfile">TrustProfile</a><br />
<br />
</div>

</td>

<td valign="top">
<div id="titel">Konfiguration der SP/SS-Module</div>

<div id="konfigurationsdatei" />
<p id="subtitel">SP/SS-Konfigurationsdatei</p>
<p id="block">
Die Konfiguration von MOA SP/SS wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema <a href="MOA-SPSS-Configuration-1.0.xsd" target="_new">MOA-SPSS-Configuration-1.0.xsd</a> entspricht, durchgef�hrt.
<p />
Der Ort der Konfigurationsdatei wird im Abschnitt <a href="sp-admin_1.htm#deployment">Deployment der Web-Applikation in Tomcat</a> beschrieben.
<p />
Die folgenden Abschnitte erl�utern das Format der Konfigurationsdatei.
<a href="examples/conf/MOA-SPSSConfiguration.xml" target="_new">MOA-SPSSConfiguration.xml</a> zeigt ein Beispiel
f�r eine umfassende Konfigurationsdatei.
</p>
Enth�lt die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem die Konfigurationsdatei
gespeichert ist, interpretiert.

<div id="CanonicalizationAlgorithm" />
<p id="block">
<b>CanonicalizationAlgorithm</b> <br />
Als Inhalt des Elements <tt>CanonicalizationAlgorithm</tt> kann der Kanonisierungs-Algorithmus, der f�r das Erstellen von XML Signaturen verwendet werden soll und in der Signatur als Inhalt von <tt>/dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod</tt> aufscheint, spezifiziert werden.
<br /><br />
G�ltige Werte:<br />
<tt>http://www.w3.org/TR/2001/REC-xml-c14n-20010315<br />
http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments<br />
http://www.w3.org/2001/10/xml-exc-c14n#<br />
http://www.w3.org/2001/10/xml-exc-c14n#WithComments<br />
</tt>
<br />
Default-Wert: <br /><tt>http://www.w3.org/TR/2001/REC-xml-c14n-20010315 </tt>
<br /><br />
</p>

<div id="DigestMethodAlgorithm" />
<p id="block">
<b>DigestMethodAlgorithm</b><br />
Als Inhalt des Elements <tt>DigestMethodAlgorithm</tt> kann der Digest-Algorithmus spe�zi�fi�ziert werden, der in der Signatur als Inhalt von <tt>dsig:Reference/dsig:DigestMethod aufscheint</tt>.
<br /><br />
G�ltige Werte: <br /><tt>http://www.w3.org/2000/09/xmldsig#sha1</tt>
<br /><br />
Default-Wert: <br /><tt>http://www.w3.org/2000/09/xmldsig#sha1</tt>
<br /><br />
</p>

<div id="GenericConfiguration" />
<p id="block">
<b>GenericConfiguration</b><br />
Das Element <tt>GenericConfiguration</tt> erm�glicht das Setzen von Namen-Werte Paaren mittels der Attribute <tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert 
<ul>
<li>g�ltige Werte f�r das name-Attribut, </li>
<li>eine Beschreibung </li>
<li>g�ltige Werte f�r das value-Attribut und </li>
<li>den Default-Wert f�r das value-Attribut. </li>
</ul>

<table border="0" cellspacing="3" cellpadding="2">
<tr><th align="left">name: autoAddCertificate</th></tr>
<tr><td id="info">
Gibt an, ob Zertifikate, die in der Signtur enthalten sind bzw. bei der Zertifikatspfaderstellung verwendet werden,
automatisch im Zertifikatsspeicher
(siehe Parameter <a href="#DirectoryCertStoreParameters.RootDir"><tt>DirectoryCertStoreParameters.RootDir</tt></a>)
gespeichert werden sollen (siehe auch Parameter <a href="#useAuthorityInfoAccess"> 
<tt>useAuthorityInfoAccess</tt></a>).<br />
<hr />
<b>value: </b><br />
G�ltige Werte: <tt>true/false</tt><br />
Default-Wert: <tt>true</tt>
</td></tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr>
<tr><td id="info">
Gibt den Pfadnamen zum Verzeichnis an, das als Zertifikatsspeicher verwendet wird. <br />
<hr />
<b>value: </b><br />
G�ltige Werte: Name eines Verzeichnisses, das Verzeichnis muss noch nicht existieren <br />
Default-Wert: certstore
</td></tr>
</table>

<table border="0" cellspacing="3" cellpadding="2">
<tr id="useAuthorityInfoAccess"><th align="left">name: useAuthorityInfoAccess</th></tr>
<tr><td id="info">
Gibt an, ob die Zertifikatserweiterung <tt>AuthorityInformationAccess</tt> f�r die Zertifikatspfaderstellung verwendet
werden soll.  Wird der Wert auf <tt>true</tt> gesetzt, dann setzt MOA auch <tt>autoAddCertificate</tt> automatisch
auf <tt>true</tt> und ignoriert den Wert aus der Konfigurationsdatei.<br />
<hr />
<b>value: </b><br />
G�ltige Werte: <tt>true/false</tt><br />
Default-Wert: <tt>true</tt>
</td></tr>
</table>

<table border="0" cellspacing="3" cellpadding="2">
<tr id="checkRevocation"><th align="left">name: checkRevocation</th></tr>
<tr><td id="info">
Gibt ab, ob bei der Zertifikats�berpr�fung auch der Zertifikatsstatus �berpr�ft werden soll.  Der Zertifikatsstatus
wird mittels Certificate Revocation Lists (CRL) �berpr�ft.<br />
<hr />
<b>value: </b><br />
G�ltige Werte: <tt>true/false</tt><br />
Default-Wert: <tt>true</tt>
</td></tr>
</table>

<table border="0" cellspacing="3" cellpadding="2">
<tr><th align="left">name: maxRevocationAge</th></tr>
<tr><td id="info">
Wenn der Zertifikatsstatus �berpr�ft werden soll (siehe Parameter <a href="#checkRevocation"><tt>checkRevocation</tt></a>),
gibt dieser Parameter an, wann eine aktuelle Revozierungsinformation (CRL) geladen werden soll. <br />
<hr />
<b>value: </b><br />
G�ltige Werte: 
<ul id="infolist">
<li id="infolist">negativer Wert: bei jedem Zugriff auf Revozierungsinformation wird eine aktuelle Revozierungsinformation geladen</li>
<li id="infolist">0: eine neue Revozierungsinformation wird zu dem Zeitpunkt geladen, der im nextUpdate-Feld der CRL spezifiziert ist</li>
<li id="infolist">positiver Wert: Zeitspanne in Millisekunden, die eine Revozierungsinformation ohne neuerliche Abfrage verwendet werden darf</li>
</ul>
Default-Wert: 0
</td></tr>
</table>
<table border="0" cellspacing="3" cellpadding="2">
<tr><th align="left">name: archiveRevocationInfo</th></tr>
<tr><td id="info">
Gibt an, ob Revozierungsinformation archiviert werden soll
(siehe auch Parameter <a href=#DataBaseArchiveParameter.JDBCUrl"><tt>DataBaseArchiveParameter.JDBCUrl</tt></a>).
<br />
<hr />
<b>value: </b><br />
G�ltige Werte: <tt>true/false</tt><br />
Default-Wert: <tt>false</tt>
</td></tr>
</table>

                <table border="0" cellspacing="3" cellpadding="2">
                  <tr id="DataBaseArchiveParameter.JDBCUrl">
                    <th align="left">name: DataBaseArchiveParameter.JDBCUrl</th>
                  </tr>
                  <tr>
                    <td id="info"> Gibt eine JDBC-URL zur Datenbank an, in der 
                      Revozierungsinformation archiviert werden soll. Wird dieser 
                      Parameter nicht gesetzt, dann wertet MOA den Parameter <tt>archiveRevocationInfo</tt> 
                      nicht aus der Konfigurationsdatei aus sondern setzt den 
                      Wert automatisch auf <tt>false</tt>. <br />
                      Der genaue Aufbau der JDBC-URL ist abh�ngig von der verwendeten 
                      Datenbank. Im Fall von PostgreSQL kann folgende URL verwendet 
                      werden: <tt>jdbc:postgresql://host/moadb?user=moauser&amp;amp;password=moapassword</tt> 
                      wobei <tt>host, moadb, moauser</tt> und <tt>moapassword</tt> 
                      an die tats�chlich verwendete Datenbank angepasst werden 
                      muss.<br />
                      Die Verwendung von <tt>"&amp;amp"</tt> ist erforderlich, 
                      da <tt>"&amp;"</tt> einen Fehler bei der Validierung der 
                      Konfigurationsdatei verursacht. <br />
                      Die Archivdaten werden nur MOA-SPSS-intern ben�tigt und 
                      das Format ist daher f�r den Betrieb des Servers nicht relevant. 
                      <hr />
                      <b>value: </b><br />
                      G�ltige Werte: String </td>
                  </tr>
                </table>
                <table border="0" cellspacing="3" cellpadding="2">
                  <tr id="DataBaseArchiveParameter.JDBCDriverClass">
                    <th align="left">name: DataBaseArchiveParameter.JDBCDriverClass</th>
                  </tr>
                  <tr> 
                    <td id="info"> 
                      <p>Dieser Parameter kann verwendet werden, um MOA SPSS den 
                        Klassennamen des JDBC-Datenbanktreibers bekannt zu geben, 
                        der zur Ansprache der f&uuml;r die CRL-Archivierung zu 
                        verwendenden Datenbank ben&uuml;tzt werden soll. Er muss 
                        den vollst&auml;ndig qualifizierten Klassennamen der JDBC-Treiberklasse 
                        enthalten. 
                      </p>
                      <p>Der Parameter wird nur dann ausgewertet, wenn der generische 
                        Konfigurationsparameter <tt>archiveRevocationInfo</tt> 
                        auf den Wert <tt>true</tt> gesetzt ist. 
                      <p>Hinweis: Wird im generischen Konfigurationsparameter 
                        <tt>DataBaseArchiveParameter.JDBCUrl</tt> entweder eine 
                        postgreSQL- oder eine mySQL-Datenbank referenziert, braucht 
                        dieser Paramter nicht angegeben zu werden; in diesen Standardf&auml;llen 
                        erfolgt eine automatische Zuordnung zur passenden JDBC-Treiberklasse.
                      <hr />
                      <b>value: </b><br />
                      G�ltige Werte: vollst&auml;ndig qualifizierter Java-Klassenname</td>
                  </tr>
                </table>
                <p></p>

<div id="HardwareKeyModule" />
<p id="block">
<b>HardwareKeyModule</b><br />
Mittels dieses Elements werden Hardware-Key-Module konfiguriert.  HardwareKeyModule hat vier Attribute:
<br /><br />
<table border="0" cellspacing="3" cellpadding="2">
<tr><th>Attribut-Name</th><th>Attribut-Typ</th><th>Beschreibung </th> </tr>
<tr>
<td valign="top" id="info">id</td><td valign="top" id="info">token</td>
<td id="info">eine vom Administrator gew�hlte Bezeichnung f�r das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.</td>
</tr>
<tr>
<td valign="top" id="info">name</td><td valign="top" id="info">string</td>
<td id="info">der Name des PKCS#11-Moduls; der Name enth�lt den Dateinamen der DLL (Windows) oder der Shared-Library
(Unix), die das PKCS#11-Modul implementiert; der Wert enth�lt entweder einen Dateinamen mit absoluter Pfadangabe bzw.
einen Dateinamen ohne Pfadangabe.  Im letzteren Fall wird der Dateiname relativ zum Suchpfad des Betriebssystems
interpretiert.</td>
</tr>
<tr>
<td valign="top" id="info">slotID</td><td valign="top" id="info">string</td>
<td id="info">ein spezifischer Slot des PKCS#11 HW Moduls; das Attribut ist optional, wird keine slotID spezifiziert, dann selektiert MOA SP/SS einen Slot f�r die Signaturerstellung.</td>
</tr>
<tr>
<td valign="top" id="info">userPIN</td><td valign="top" id="info">string</td>
<td id="info">der PIN f�r die Aktivierung des privaten Schl�ssels</td>
</tr>
</table>
<p></p>

<div id="SoftwareKeyModule" />
<p id="block">
<b>SoftwareKeyModule</b><br />
Mittels dieses Elements werden Software-Key-Module in Form von PKCS#12-Dateien konfiguriert.  SoftwareKeyModule hat drei Attribute: 
<br /><br />
<table border="0" cellspacing="3" cellpadding="2">
<tr><th>Attribut-Name</th><th>Attribut-Typ</th><th>Beschreibung </th> </tr>
<tr id="info">
<td valign="top" id="info">id</td><td valign="top" id="info">token</td>
<td id="info">eine vom Administrator gew�hlte Bezeichnung f�r das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert.</td>
</tr>
<tr>
<td valign="top" id="info">filename</td><td valign="top" id="info">string</td>
<td id="info">der Dateiname der PKCS#12-Datei; das Attribut enth�lt entweder einen absoluten Pfadnamen oder einen
Pfadnamen relativ zur MOA SP/SS Konfigurationsdatei.</td>
</tr>
<tr>
<td valign="top" id="info">password</td><td valign="top" id="info">string</td>
<td id="info">das Passwort zur Aktivierung des privaten Schl�ssels in der PKCS#12-Datei</td>
</tr>
</table>
<p></p>

<div id="KeyGroup" />
<p id="block">
<b>KeyGroup</b><br />
Eine KeyGroup ist eine Zusammenfassung mehreren Keys in eine Gruppe.  Der durch das Attribut id definierte Bezeichner
dieser KeyGroup wird im CreateXMLSignatureRequest im Element KeyIdentifier verwendet.  MOA-SS w�hlt einen Schl�ssel
aus der KeyGroup f�r die Signaturerstellung aus.  Durch die Zusammenfassung mehrere Schl�ssel in eine Gruppe 
kann die Verf�gbarkeit und der Durchsatz  der Signaturerstellung erh�ht werden. <br />
Das Kind-Element Key identifiziert einen privaten Schl�ssel.
Ein Schl�ssel wird durch das Element KeyModuleID (siehe z.B. SoftwareKeyModule/@id), Issuer
und Seriennummer des zum Schl�ssel geh�rigen Zertifikats im Element KeyCertIssuerSerial bezeichnet. 
<br /><br />
Die Konfiguration des Elements Key erfolgt in einem 2-stufigen Prozess: <br />
<ol>
<li>Zuerst werden die verwendeten PKCS#12-Dateien und PKCS#11-Module als Elemente HardwareKeyModule und SoftwareKeyModule in der Konfigurationsdatei erfasst</li>
<li>Beim Starten des MOA SP/SS-Servers werden die verf�gbaren Schl�ssel im Log-File aufgelistet:
<br /><br />
<pre style="font-size:8pt">INFO | 10 12:56:43,023 | main |
       Key ID=SWKeyModule1;
       CN=IAIK Test CA,OU=IAIK Test CA,
       OU=Insitute for Applied Information
       Processing and Communications,
       O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
       1044289238331
INFO | 10 12:56:43,023 | main |
       Key ID=SWKeyModule2;
       CN=IAIK Test CA,OU=IAIK Test CA,
       OU=Insitute for Applied Information
       Processing and Communications,
       O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
       1044289238331
INFO | 10 12:56:43,023 | main |
       Key ID=SWKeyModule3;
       CN=IAIK ECDSA Test,OU=JavaSecurity,O=IAIK,C=AT;
       68172
INFO | 10 12:56:43,023 | main |
       Key ID=SWKeyModule4;
       CN=IAIK DSA Test CA,OU=JavaSecurity,O=IAIK,C=AT;
       761791</pre>
</li>
<li>F�r jeden verf�gbaren Schl�ssel werden die Inhalte der Elemente Key/KeyModuleID, Key/KeyCertIssuerSerial/X509IssuerName und Key/KeyCertIssuerSerial/X509SerialNumber dem Log-File entnommen und in die Konfigurationsdatei eingetragen</li>
<li>Nach einem neuerlichen Start von MOA SP/SS stehen die Key-Definitionen zur Verf�gung</li>
</ol>
<p></p>
<p id="block">Sind die zu den zu konfigurierenden Schl�sseln zugeh�rigen Zertifikate bekannt,
kann alternativ die Konfiguration in einem Schritt erfolgen, indem
die ben�tigten Informationen mit dem Skript <tt>certtool -info &lt;certfilename&gt;</tt> aus dem Zertifikat gelesen werden.
<tt>&lt;certfilename&gt;</tt> bezeichnet den Dateinamen eines X.509 Zertifikates in DER-Kodierung.
<br /><br />
<tt>certtool</tt> ist im Verzeichnis $MOA_SPSS_INST/tools abgelegt.</p>

<div id="KeyGroupMapping" />
<p id="block">
<b>KeyGroupMapping</b><br />
Das Element KeyGroupMapping ordnet einem Client von MOA SS die ihm zur Verf�gung stehenden KeyGroups zu, indem das
den Client repr�sentierende TLS Client-Zertifikat (Element <tt>X509IssuerSerial</tt>) mit einer oder mehreren KeyGroups
assoziiert wird. <br /><br />
Enth�lt das Element KeyGroupMapping kein Element X509IssuerSerial, dann k�nnen die in diesem Element definierten
KeyGroups von jedem Client (auch ohne TLS Client Authentisierung) verwendet werden.
</p>

<div id="ChainingModes" />
<p id="block">
<b>ChainingModes</b><br />
Das Element ChainingModes definiert, ob bei der Zertifikatspfad�berpr�fung das Kettenmodell  ("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll.
<br /><br />
Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll.
Mit dem Kind-Element TrustAnchor kann f�r jeden Trust Anchor ein abweichendes Modell spezifiziert werden.
Ein Trust Anchor ist ein Zertifikat, das im TrustProfile spezifiziert ist (Erkl�rung siehe <a href="#TrustProfile">
<tt>TrustProfile</tt></a>).
Ein Trust Anchor wird durch den Typ dsig:X509IssuerSerialType spezifiziert.
Das f�r diesen Trust Anchor g�ltige Modell wird durch das Attribut mode spezifiziert. 
<br /><br />
G�ltige Werte f�r die Attribute systemDefaultMode und mode sind "chaining" und "pkix".
</p>

<div id="CRLArchive" />
<p id="block">
<b>CRLArchive</b><br />
Im Attribut duration wird spezifiziert, wie lange (in Tagen) gecachte CRLs archiviert werden m�ssen.
</p>

<div id="CRLDistributionPoint" />
<p id="block">
<b>CRLDistributionPoint</b><br />
Das Element CRLDistributionPoint dient zum Spezifizieren von URLs, die auf CRLs von CAs (Zertifikatsaussteller) verweisen. <br /><br />
Eine CA wird �ber das Element CAIssuerDN identifiziert, das den Issuer-DN der CA als String enth�lt.  CRLDistributionPoint kann
das Element DistributionPoint einmal oder mehrmals enthalten. Das Element DistributionPoint hat zwei Attribute: <br />
<ul>
<li>der Wert des Attributs uri enth�lt den CRL Distribution Point; es werden die Protokolle HTTP, HTTPS und LDAP 
unterst�tzt.</li>
<li>der Wert des optionalen Attributs reasonCodes (vom Typ NMTOKENS) enth�lt eine Liste von Reason Codes
(nach RFC 3280).  Die �ber uri referenzierte CRL enth�lt nur CRL Eintr�ge mit den spezifizierten Reason Codes.
Wird der Wert dieses Attributs nicht gesetzt dann kann die CRL Eintr�ge mit allen reason codes enthalten.<br />
G�ltige Werte:<br />
<tt>unspecified, keyCompromise, cACompromise, affiliationChanged, superseded,
cessationOfOperation, certificateHold, removeFromCRL, privilegeWithdrawn, aACompromise</tt></li>
</ul>
<p></p>

<div id="Create" />
<p id="block">
<b>CreateSignatureEnvironmentProfile<br />
CreateTransformsInfoProfile <br />
VerifyTransformsInfoProfile<br />
SupplementProfile</b><br />
Jedes dieser Elemente enth�lt das Attribut id und das Attribut filename. Das Attribut id bezeichnet das Profil
wie es im CreateXMLSignatureRequest bzw. VerifyXMLSignatureRequest tats�chlich referenziert wird.
 Das Attribut filename bezeichnet die Datei, die die
entsprechenden Elemente gem�� MOA SP/SS Schemas [MOA SP/SS Schema] beinhaltet.  Die Datei beinhaltet wohlgeformtes
XML mit genau einem Element als Dokumentelement.
<br /><br />
Die folgende Tabelle bezeichnet jene Elemente, die in den Dateien als Dokumentelement verwendet werden m�ssen: 
<br /><br />
<table border="0" cellspacing="3" cellpadding="2">
<tr><th>Profilname</th><th>Wurzelelement </th> </tr>
<tr>
<td id="info">CreateSignatureEnvironmentProfile</td><td id="info">CreateSignatureEnvironmentProfile</td>
</tr>
<tr>
<td id="info">CreateTransformsInfoProfile</td><td id="info">CreateTransformsInfoProfile</td>
</tr>
<tr>
<td id="info">VerifyTransformsInfoProfile</td><td id="info">VerifyTransformsInfoProfile</td>
</tr>
<tr>
<td id="info">SupplementProfile</td><td id="info">SupplementProfile</td>
</tr>
</table>

<br /><br />
<p></p>

<div id="TrustProfile" />
<p id="block">
<b>TrustProfile</b><br />
Ein TrustProfile enth�lt Zertifikate, die als vertrauensw�rdig betrachtet werden.  Vertrauensw�rdige Zertifikate k�nnen
selbst-signierte Wurzel-Zertifikate, Zertifikate von Zwischen CAs oder End-Entity Zertifikate sein. F�r die 
erfolgreiche �berpr�fung eines Zertifikats muss (unter anderem) ein Zertifikatspfad zu einem Zertifikat aufgebaut
werden k�nnen, das in jenem Trustprofile enthalten ist, welches im Verify-Request bezeichnet ist.<br />
<br />
TrustProfile enth�lt zwei Attribute:
<ul>
<li>Das Attribut id spezifiziert die TrustProfileID wie sie im Message-Format von MOA-SP referenziert wird</li>
<li>Das Attribut uri spezifiziert eine URL, die ein Verzeichnis im lokalen Dateisystem referenziert
(nur das Schema file wird unterst�tzt).  Alle f�r diese TrustProfileID vertrauensw�rdigen
Zertifikate werden in diesem Verzeichnis gespeichert.</li>
</ul>
<p></p>

</div></div></div></div></div></div></div></div></div></div></div></div></div></td></tr></table>
<br /><br />


<div id="minimal-config" />
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170" valign="top" id="klein">
<p id="subtitel">&#160;</p>
<br />
<div id="slogan">
<b>Beispiele</b>
<a href="examples/conf/MinimalSPConfig.xml" target="_new">MinimalSPConfig.xml </a>
<br /><br /><br /><br />
<br /><br /><br />
<b>Beispiele</b>
<a href="examples/conf/MinimalSSConfig.xml" target="_new">MinimalSSConfig.xml </a>
</div>
</td>
<td valign="top">
<p id="subtitel">Minimale Konfigurations-Dateien</p>

<div id="block">
<b>MOA-SP</b><br />
Wird nur die Signaturpr�fungs-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten: <br />
<ul>
<li>ein Element TrustProfile </li>
</ul>
</div>

<div id="block">
<b>MOA-SS</b> <br />
Wird nur die Server-Signatur-Funktion von MOA-SP/SS verwendet, dann muss die Konfigurationsdatei zumindest folgende Elemente enthalten: <br />
<ul>
<li>ein Element HardwareKeyModule oder SoftwareKeyModule </li>
<li>ein Element KeyGroup mit einem Kind-Element Key </li>
<li>ein Element KeyGroupMapping mit einem Kind-Element <br />KeyGroup </li>
</ul>
</div>

</td></tr></table>
<br /><br />


<div id="online-config" />
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170" valign="top" id="klein">
<p id="subtitel">&#160;</p>
<div id="slogan">
<br /><br />
</div>
</td>
<td valign="top">
<p id="subtitel">�nderung der Konfiguration w�hrend des Betriebs</p>
<div id="block">
Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird (z.B. die Dateien, die die
Transformations-Profile enthalten), k�nnen w�hrend des laufenden Betriebes des MOA-Servers ge�ndert werden. Der
Server selbst wird durch den Aufruf einer URL im Applikationskontext von MOA SP/SS
(siehe <a href="sp-admin_1.htm#ConfigurationUpdate" target="_new">ConfigurationUpdate</a>)
dazu veranlasst, die ge�nderte Konfigurati-on neu einzulesen. Im Falle einer fehlerhaften neuen Konfiguration
wird die urspr�ngliche Konfiguration beibehalten. 
<br /><br />
</div>
</td></tr></table>
<br /><br />



<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
<td width="170" valign="top"><br /></td>
<td valign="top">
<hr />
<div style="font-size:8pt; color:#909090">&copy; 2003 <!-- Development Center, BRZ GmbH --></div>
</td></tr></table>
<br />


</div>
</div></div></body>
</html>