MOA-SP/SS
Konfiguration
|
Konfiguration der SP/SS-Module
SP/SS-Konfigurationsdatei
Die Konfiguration von MOA SP/SS wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema MOA-SPSS-Configuration-1.0.xsd entspricht, durchgeführt.
Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation in Tomcat beschrieben.
Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei.
MOA-SPSSConfiguration.xml zeigt ein Beispiel
für eine umfassende Konfigurationsdatei.
Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem die Konfigurationsdatei
gespeichert ist, interpretiert.
CanonicalizationAlgorithm
Als Inhalt des Elements CanonicalizationAlgorithm kann der Kanonisierungs-Algorithmus, der für das Erstellen von XML Signaturen verwendet werden soll und in der Signatur als Inhalt von /dsig:Signature/dsig:SignedInfo/dsig:CanonicalizationMethod aufscheint, spezifiziert werden.
Gültige Werte:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315
http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
http://www.w3.org/2001/10/xml-exc-c14n#
http://www.w3.org/2001/10/xml-exc-c14n#WithComments
Default-Wert: http://www.w3.org/TR/2001/REC-xml-c14n-20010315
DigestMethodAlgorithm
Als Inhalt des Elements DigestMethodAlgorithm kann der Digest-Algorithmus spezifiziert werden, der in der Signatur als Inhalt von dsig:Reference/dsig:DigestMethod aufscheint.
Gültige Werte: http://www.w3.org/2000/09/xmldsig#sha1
Default-Wert: http://www.w3.org/2000/09/xmldsig#sha1
GenericConfiguration
Das Element GenericConfiguration ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute name und value. Die folgende Liste spezifiziert
- gültige Werte für das name-Attribut,
- eine Beschreibung
- gültige Werte für das value-Attribut und
- den Default-Wert für das value-Attribut.
name: autoAddCertificate |
Gibt an, ob Zertifikate, die in der Signtur enthalten sind bzw. bei der Zertifikatspfaderstellung verwendet werden,
automatisch im Zertifikatsspeicher
(siehe Parameter DirectoryCertStoreParameters.RootDir)
gespeichert werden sollen (siehe auch Parameter
useAuthorityInfoAccess).
value:
Gültige Werte: true/false
Default-Wert: true
|
name: DirectoryCertStoreParameters.RootDir |
Gibt den Pfadnamen zum Verzeichnis an, das als Zertifikatsspeicher verwendet wird.
value:
Gültige Werte: Name eines Verzeichnisses, das Verzeichnis muss noch nicht existieren
Default-Wert: certstore
|
name: useAuthorityInfoAccess |
Gibt an, ob die Zertifikatserweiterung AuthorityInformationAccess für die Zertifikatspfaderstellung verwendet
werden soll. Wird der Wert auf true gesetzt, dann setzt MOA auch autoAddCertificate automatisch
auf true und ignoriert den Wert aus der Konfigurationsdatei.
value:
Gültige Werte: true/false
Default-Wert: true
|
name: checkRevocation |
Gibt ab, ob bei der Zertifikatsüberprüfung auch der Zertifikatsstatus überprüft werden soll. Der Zertifikatsstatus
wird mittels Certificate Revocation Lists (CRL) überprüft.
value:
Gültige Werte: true/false
Default-Wert: false
|
name: maxRevocationAge |
Wenn der Zertifikatsstatus überprüft werden soll (siehe Parameter checkRevocation),
gibt dieser Parameter an, wann eine aktuelle Revozierungsinformation (CRL) geladen werden soll.
value:
Gültige Werte:
- negativer Wert: bei jedem Zugriff auf Revozierungsinformation wird eine aktuelle Revozierungsinformation geladen
- 0: eine neue Revozierungsinformation wird zu dem Zeitpunkt geladen, der im nextUpdate-Feld der CRL spezifiziert ist
- positiver Wert: Zeitspanne in Millisekunden, die eine Revozierungsinformation ohne neuerliche Abfrage verwendet werden darf
Default-Wert: 0
|
name: archiveRevocationInfo |
Gibt an, ob Revozierungsinformation archiviert werden soll
(siehe auch Parameter DataBaseArchiveParameter.JDBCUrl).
value:
Gültige Werte: true/false
Default-Wert: false
|
name: DataBaseArchiveParameter.JDBCUrl |
Gibt eine JDBC-URL zur Datenbank an, in der
Revozierungsinformation archiviert werden soll. Wird dieser
Parameter nicht gesetzt, dann wertet MOA den Parameter archiveRevocationInfo
nicht aus der Konfigurationsdatei aus sondern setzt den
Wert automatisch auf false.
Der genaue Aufbau der JDBC-URL ist abhängig von der verwendeten
Datenbank. Im Fall von PostgreSQL kann folgende URL verwendet
werden: jdbc:postgresql://host/moadb?user=moauser&password=moapassword
wobei host, moadb, moauser und moapassword
an die tatsächlich verwendete Datenbank angepasst werden
muss.
Die Verwendung von "&" ist erforderlich,
da "&" einen Fehler bei der Validierung der
Konfigurationsdatei verursacht.
Die Archivdaten werden nur MOA-SPSS-intern benötigt und
das Format ist daher für den Betrieb des Servers nicht relevant.
value:
Gültige Werte: String |
name: DataBaseArchiveParameter.JDBCDriverClass |
Dieser Parameter kann verwendet werden, um MOA SPSS den
Klassennamen des JDBC-Datenbanktreibers bekannt zu geben,
der zur Ansprache der für die CRL-Archivierung zu
verwendenden Datenbank benützt werden soll. Er muss
den vollständig qualifizierten Klassennamen der JDBC-Treiberklasse
enthalten.
Der Parameter wird nur dann ausgewertet, wenn der generische
Konfigurationsparameter archiveRevocationInfo
auf den Wert true gesetzt ist.
Hinweis: Wird im generischen Konfigurationsparameter
DataBaseArchiveParameter.JDBCUrl entweder eine
postgreSQL- oder eine mySQL-Datenbank referenziert, braucht
dieser Paramter nicht angegeben zu werden; in diesen Standardfällen
erfolgt eine automatische Zuordnung zur passenden JDBC-Treiberklasse.
value:
Gültige Werte: vollständig qualifizierter Java-Klassenname |
HardwareKeyModule
Mittels dieses Elements werden Hardware-Key-Module konfiguriert. HardwareKeyModule hat vier Attribute:
Attribut-Name | Attribut-Typ | Beschreibung |
id | token |
eine vom Administrator gewählte Bezeichnung für das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert. |
name | string |
der Name des PKCS#11-Moduls; der Name enthält den Dateinamen der DLL (Windows) oder der Shared-Library
(Unix), die das PKCS#11-Modul implementiert; der Wert enthält entweder einen Dateinamen mit absoluter Pfadangabe bzw.
einen Dateinamen ohne Pfadangabe. Im letzteren Fall wird der Dateiname relativ zum Suchpfad des Betriebssystems
interpretiert. |
slotID | string |
ein spezifischer Slot des PKCS#11 HW Moduls; das Attribut ist optional, wird keine slotID spezifiziert, dann selektiert MOA SP/SS einen Slot für die Signaturerstellung. |
userPIN | string |
der PIN für die Aktivierung des privaten Schlüssels |
SoftwareKeyModule
Mittels dieses Elements werden Software-Key-Module in Form von PKCS#12-Dateien konfiguriert. SoftwareKeyModule hat drei Attribute:
Attribut-Name | Attribut-Typ | Beschreibung |
id | token |
eine vom Administrator gewählte Bezeichnung für das Key-Modul; diese id wird von KeyGroup/Key/KeyModuleID referenziert. |
filename | string |
der Dateiname der PKCS#12-Datei; das Attribut enthält entweder einen absoluten Pfadnamen oder einen
Pfadnamen relativ zur MOA SP/SS Konfigurationsdatei. |
password | string |
das Passwort zur Aktivierung des privaten Schlüssels in der PKCS#12-Datei |
KeyGroup
Eine KeyGroup ist eine Zusammenfassung mehreren Keys in eine Gruppe. Der durch das Attribut id definierte Bezeichner
dieser KeyGroup wird im CreateXMLSignatureRequest im Element KeyIdentifier verwendet. MOA-SS wählt einen Schlüssel
aus der KeyGroup für die Signaturerstellung aus. Durch die Zusammenfassung mehrere Schlüssel in eine Gruppe
kann die Verfügbarkeit und der Durchsatz der Signaturerstellung erhöht werden.
Das Kind-Element Key identifiziert einen privaten Schlüssel.
Ein Schlüssel wird durch das Element KeyModuleID (siehe z.B. SoftwareKeyModule/@id), Issuer
und Seriennummer des zum Schlüssel gehörigen Zertifikats im Element KeyCertIssuerSerial bezeichnet.
Die Konfiguration des Elements Key erfolgt in einem 2-stufigen Prozess:
- Zuerst werden die verwendeten PKCS#12-Dateien und PKCS#11-Module als Elemente HardwareKeyModule und SoftwareKeyModule in der Konfigurationsdatei erfasst
- Beim Starten des MOA SP/SS-Servers werden die verfügbaren Schlüssel im Log-File aufgelistet:
INFO | 10 12:56:43,023 | main |
Key ID=SWKeyModule1;
CN=IAIK Test CA,OU=IAIK Test CA,
OU=Insitute for Applied Information
Processing and Communications,
O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
1044289238331
INFO | 10 12:56:43,023 | main |
Key ID=SWKeyModule2;
CN=IAIK Test CA,OU=IAIK Test CA,
OU=Insitute for Applied Information
Processing and Communications,
O=GRAZ UNIVERSITY OF TECHNOLOGY,C=AT;
1044289238331
INFO | 10 12:56:43,023 | main |
Key ID=SWKeyModule3;
CN=IAIK ECDSA Test,OU=JavaSecurity,O=IAIK,C=AT;
68172
INFO | 10 12:56:43,023 | main |
Key ID=SWKeyModule4;
CN=IAIK DSA Test CA,OU=JavaSecurity,O=IAIK,C=AT;
761791
- Für jeden verfügbaren Schlüssel werden die Inhalte der Elemente Key/KeyModuleID, Key/KeyCertIssuerSerial/X509IssuerName und Key/KeyCertIssuerSerial/X509SerialNumber dem Log-File entnommen und in die Konfigurationsdatei eingetragen
- Nach einem neuerlichen Start von MOA SP/SS stehen die Key-Definitionen zur Verfügung
Sind die zu den zu konfigurierenden Schlüsseln zugehörigen Zertifikate bekannt,
kann alternativ die Konfiguration in einem Schritt erfolgen, indem
die benötigten Informationen mit dem Skript certtool -info <certfilename> aus dem Zertifikat gelesen werden.
<certfilename> bezeichnet den Dateinamen eines X.509 Zertifikates in DER-Kodierung.
certtool ist im Verzeichnis $MOA_SPSS_INST/tools abgelegt.
KeyGroupMapping
Das Element KeyGroupMapping ordnet einem Client von MOA SS die ihm zur Verfügung stehenden KeyGroups zu, indem das
den Client repräsentierende TLS Client-Zertifikat (Element X509IssuerSerial) mit einer oder mehreren KeyGroups
assoziiert wird.
Enthält das Element KeyGroupMapping kein Element X509IssuerSerial, dann können die in diesem Element definierten
KeyGroups von jedem Client (auch ohne TLS Client Authentisierung) verwendet werden.
ChainingModes
Das Element ChainingModes definiert, ob bei der Zertifikatspfadüberprüfung das Kettenmodell ("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll.
Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll.
Mit dem Kind-Element TrustAnchor kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden.
Ein Trust Anchor ist ein Zertifikat, das im TrustProfile spezifiziert ist (Erklärung siehe
TrustProfile).
Ein Trust Anchor wird durch den Typ dsig:X509IssuerSerialType spezifiziert.
Das für diesen Trust Anchor gültige Modell wird durch das Attribut mode spezifiziert.
Gültige Werte für die Attribute systemDefaultMode und mode sind "chaining" und "pkix".
CRLArchive
Im Attribut duration wird spezifiziert, wie lange (in Tagen) gecachte CRLs archiviert werden müssen.
CRLDistributionPoint
Das Element CRLDistributionPoint dient zum Spezifizieren von URLs, die auf CRLs von CAs (Zertifikatsaussteller) verweisen.
Eine CA wird über das Element CAIssuerDN identifiziert, das den Issuer-DN der CA als String enthält. CRLDistributionPoint kann
das Element DistributionPoint einmal oder mehrmals enthalten. Das Element DistributionPoint hat zwei Attribute:
- der Wert des Attributs uri enthält den CRL Distribution Point; es werden die Protokolle HTTP, HTTPS und LDAP
unterstützt.
- der Wert des optionalen Attributs reasonCodes (vom Typ NMTOKENS) enthält eine Liste von Reason Codes
(nach RFC 3280). Die über uri referenzierte CRL enthält nur CRL Einträge mit den spezifizierten Reason Codes.
Wird der Wert dieses Attributs nicht gesetzt dann kann die CRL Einträge mit allen reason codes enthalten.
Gültige Werte:
unspecified, keyCompromise, cACompromise, affiliationChanged, superseded,
cessationOfOperation, certificateHold, removeFromCRL, privilegeWithdrawn, aACompromise
CreateSignatureEnvironmentProfile
CreateTransformsInfoProfile
VerifyTransformsInfoProfile
SupplementProfile
Jedes dieser Elemente enthält das Attribut id und das Attribut filename. Das Attribut id bezeichnet das Profil
wie es im CreateXMLSignatureRequest bzw. VerifyXMLSignatureRequest tatsächlich referenziert wird.
Das Attribut filename bezeichnet die Datei, die die
entsprechenden Elemente gemäß MOA SP/SS Schemas [MOA SP/SS Schema] beinhaltet. Die Datei beinhaltet wohlgeformtes
XML mit genau einem Element als Dokumentelement.
Die folgende Tabelle bezeichnet jene Elemente, die in den Dateien als Dokumentelement verwendet werden müssen:
Profilname | Wurzelelement |
CreateSignatureEnvironmentProfile | CreateSignatureEnvironmentProfile |
CreateTransformsInfoProfile | CreateTransformsInfoProfile |
VerifyTransformsInfoProfile | VerifyTransformsInfoProfile |
SupplementProfile | SupplementProfile |
TrustProfile
Ein TrustProfile enthält Zertifikate, die als vertrauenswürdig betrachtet werden. Vertrauenswürdige Zertifikate können
selbst-signierte Wurzel-Zertifikate, Zertifikate von Zwischen CAs oder End-Entity Zertifikate sein. Für die
erfolgreiche Überprüfung eines Zertifikats muss (unter anderem) ein Zertifikatspfad zu einem Zertifikat aufgebaut
werden können, das in jenem Trustprofile enthalten ist, welches im Verify-Request bezeichnet ist.
TrustProfile enthält zwei Attribute:
- Das Attribut id spezifiziert die TrustProfileID wie sie im Message-Format von MOA-SP referenziert wird
- Das Attribut uri spezifiziert eine URL, die ein Verzeichnis im lokalen Dateisystem referenziert
(nur das Schema file wird unterstützt). Alle für diese TrustProfileID vertrauenswürdigen
Zertifikate werden in diesem Verzeichnis gespeichert.
|