update handbook

2 files changed, 66 insertions, 18 deletions

diff --git a/moaSig/handbook/handbook/config/config.html b/moaSig/handbook/handbook/config/config.html
index 3ef04f9..416d38a 100644
--- a/moaSig/handbook/handbook/config/config.html
+++ b/moaSig/handbook/handbook/config/config.html
@@ -143,7 +143,7 @@
     </tr>
   </table>
   <h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2>
-  <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-2.0.0.xsd">MOA-SPSS-config-2.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
+  <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-2.0.0.xsd">MOA-SPSS-config-3.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
   <h3><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>1.2.1
     Aktualisierung auf das Format von MOA SP/SS 1.3</h3>
   <p>Mit dem Wechsel auf  Version 1.3 verwendet MOA SP/SS ein neues, &uuml;bersichtlicheres Format f&uuml;r die
@@ -621,9 +621,39 @@ http://www.w3.org/2000/09/xmldsig#sha256<br>http://www.w3.org/2000/09/xmldsig#sh
 Parameter f&uuml;r MOA SP </h2>
   <h3> <a name="konfigurationsparameter_sp_certificatevalidation" id="konfigurationsparameter_sp_certificatevalidation"></a>2.3.1
     Zertifikatsvalidierung</h3>
+  <table  border="1" cellpadding="2" class="fixedWidth">
+    <tr>
+      <td> Name </td>
+      <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:ConnectionTimeout</code></td>
+    </tr>
+    <tr>
+      <td>Gebrauch</td>
+      <td>Null mal bis einmal</td>
+    </tr>
+    <tr>
+      <td>Erl&auml;uterung</td>
+      <td><p> Der Inhalt dieses Elements vom Typ <code>xs:string</code> gibt an, welcher Timeout in Sekunden bei URL Verbindungsaufbau gesetzt wird.</p>
+      <p>Zul&auml;ssige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)</p></td>
+    </tr>
+  </table>
+  <table  border="1" cellpadding="2" class="fixedWidth">
+    <tr>
+      <td> Name </td>
+      <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:ReadTimeout</code></td>
+    </tr>
+    <tr>
+      <td>Gebrauch</td>
+      <td>Null mal bis einmal</td>
+    </tr>
+    <tr>
+      <td>Erl&auml;uterung</td>
+      <td><p>Der Inhalt dieses Elements vom Typ <code>xs:string</code> gibt an, welcher Timeout in Sekunden beim Empfangen von Daten &uuml;ber eine URL gesetzt wird.</p>
+      <p>Zul&auml;ssige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)</p></td>
+    </tr>
+  </table>
   <h4><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction"></a>2.3.1.1
-  Konstruktion des Zertifikatspfads</h4>
-  <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates"></a>2.3.1.1.1 Cachen von Zertifikaten </h5>
+</h4>
+<h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates"></a>2.3.1.1.1 Cachen von Zertifikaten </h5>
   <table class="fixedWidth"  border="1" cellpadding="2">
     <tr>
       <td> Name </td>
@@ -762,7 +792,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
           <p>In MOA SP k&ouml;nnen beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von
             MOA SP gibt im Request zur Signaturpr&uuml;fung an, gegen welches Vertrauensprofil MOA SP die Zertifikatspr&uuml;fung
             vornehmen soll.</p>
-          <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist folgende Kindelemente
+        <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist folgende Kindelemente
             auf:</p>
           <ul>
             <li><code>cfg:Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enth&auml;lt einen
@@ -781,12 +811,22 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
               gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte
               Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei
               repr&auml;sentiert ein explizit erlaubtes Signatorzertifikat. </li>
-            <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterst&uuml;tzung f&uuml;r dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenw&auml;rtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel &quot;accredited&quot; oder &quot;undersupervision&quot; stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die &Uuml;berpr&uuml;fung auf qualifiziertes Zertifikat (QC-&Uuml;berpr&uuml;fung) und die &Uuml;berpr&uuml;fung auf sichere Signaturerstellungseinheit (SSCD-&Uuml;berpr&uuml;fung) &uuml;ber die EU-TSL durchgef&uuml;hrt.<br>
-              Zus&auml;tzliche kann ein optionales Kind-Element 
-            <code>cfg:CountrySelection</code> angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen L&auml;nderk&uuml;rzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen L&auml;nder herangezogen.<br>
-            <strong>Wichtig</strong>: Es k&ouml;nnen zus&auml;tzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzuf&uuml;gen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-&Uuml;berpr&uuml;fung gegebenenfalls nicht erfolgreich durchgef&uuml;hrt werden kann.<br>
-            <strong>Wichtig</strong>: Bei aktivierter TSL-Unterst&uuml;tzung muss einen entsprechende TSL Konfiguration angegeben werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a>).</li>
-        </ul></td>
+            <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterst&uuml;tzung f&uuml;r dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenw&auml;rtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten stehen und den Anforderungen der nachstehenden Kind-Elemente entsprechen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die &Uuml;berpr&uuml;fung auf qualifiziertes Zertifikat (QC-&Uuml;berpr&uuml;fung) und die &Uuml;berpr&uuml;fung auf sichere Signaturerstellungseinheit (SSCD-&Uuml;berpr&uuml;fung) &uuml;ber die EU-TSL durchgef&uuml;hrt. <br>
+              Zus&auml;tzliche k&ouml;nnen optionale Kind-Element 
+            angegeben werden: 
+              <ul>
+                <li><code>cfg:CountrySelection</code>  Dieses Element definiert eine komma-separierte Liste an zweistelligen L&auml;nderk&uuml;rzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen L&auml;nder herangezogen. <strong><br>
+                Defaultwert</strong>: alle L&auml;nder</li>
+                <li><code>cfg:AllowedTSPStatus</code> Dieses Element definiert eine komma-separierte Liste an ServiceLevel welche ein  Zertififierungsdiensteanbieter f&uuml;r diesen Vertrauensanker erf&uuml;llen muss. Die Angabe erfolgt als 'ServiceLevel' URI Identifier entsprechend der aktuellen TSL Spezifikation. (z.B. http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/recognisedatnationallevel)<br>
+                <strong>Defaultwert:</strong> http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/recognisedatnationallevel,<br>
+                http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/accredited,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/undersupervision</li>
+                <li><code>cfg:AllowedTSPServiceTypes</code> Dieses Element definiert eine komma-separierte Liste an ServiceTypen welche ein Zertififierungsdiensteanbieter f&uuml;r diesen Vertrauensanker erf&uuml;llen muss. Die Angabe erfolgt als Regex Patterns welche die 'ServiceType' URI Identifier entsprechend der aktuellen TSL Spezifikation abbilden. (z.B. http://uri\.etsi\.org/TrstSvc/Svctype/Certstatus/.*,.*) <strong><br>
+                Defaultwert:</strong> alle ServiceTypen            </li>
+              </ul>
+            </li>
+        </ul>
+          <p><strong>Wichtig</strong>: Es k&ouml;nnen zus&auml;tzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzuf&uuml;gen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-&Uuml;berpr&uuml;fung gegebenenfalls nicht erfolgreich durchgef&uuml;hrt werden kann.<br>
+        <strong>Wichtig</strong>: Bei aktivierter TSL-Unterst&uuml;tzung muss einen entsprechende TSL Konfiguration angegeben werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a>).</p></td>
     </tr>
   </table>
   <h4><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking"></a>2.3.1.3
@@ -1083,10 +1123,18 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
             <em>Hinweis</em>:  Der Import der Zertifikate von der EU-TSL ben&ouml;tigt (je nach Verbindung) ca. 90-180  Sekunden. Als Startzeit sollte daher eine Zeit gew&auml;hlt werden, zu der die  Auslastung gering ist.
 <li>Element             <code>cfg:WorkingDirectory</code>: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) f&uuml;r die TSL an. Enth&auml;lt dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.<br>
           </li>
-          <em>Hinweis</em>: Wird kein <code>cfg:WorkingDirectory</code> Element angegeben so wird defaultm&auml;&szlig;ig <code>tslworking</code> als Arbeitsverzeichnis herangezogen.<br/>
-<strong>
-          Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis
-          &quot;trust&quot; aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis &quot;eu&quot; m&uuml;ssen jene vertrauensw&uuml;rdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
+          <p><em>Hinweis</em>: Wird kein <code>cfg:WorkingDirectory</code> Element angegeben so wird defaultm&auml;&szlig;ig <code>tslworking</code> als Arbeitsverzeichnis herangezogen.</p>
+          <li>Element <code>cfg:Evaluation</code>: Diese Element hat zwei Kind Elemente
+            <ul>
+              <li>Element <code>cfg:QCQualifier</code>: Diese Element gibt eine Komma-sparierte Liste an ServiceType Qualifiern an welche als QC interpretiert werden und das entsprechende QC Flag in der MOA-SP Response setzen</li>
+              <li>Element <code>cfg:SSCDQualifiern</code>: Diese Element  gibt eine Komma-sparierte Liste an Additional-Qualifiern Extentsions an welche als SSCD interpretiert werden und das entsprechende SSCD Flag in der MOA-SP Response setzen<br>
+                <br/>
+                <strong>
+                Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis
+                &quot;trust&quot; aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis &quot;eu&quot; m&uuml;ssen jene vertrauensw&uuml;rdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
+              </li>
+            </ul>
+          </li>
         </ul>
       <p><em>Hinweis</em>: Um die TSL &Uuml;berpr&uuml;fung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL &Uuml;berpr&uuml;fung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td>
     </tr>
diff --git a/moaSig/handbook/handbook/usage/usage.html b/moaSig/handbook/handbook/usage/usage.html
index d36fb13..ef370d4 100644
--- a/moaSig/handbook/handbook/usage/usage.html
+++ b/moaSig/handbook/handbook/usage/usage.html
@@ -817,9 +817,8 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
 <p>Dieses erweiterte Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Enveloped.xml" target="_blank"><code>VerifyXMLSignatureRequest.Enveloped.xml</code></a>) demonstriert die Pr&uuml;fung einer <span class="term">Enveloped Signature</span>, d. h. einer Signatur, die in ein XML-Dokument integriert ist, die Angabe des Pr&uuml;fzeitpunkts sowie die Anweisung an MOA SP, in der Response die von der Signatur abgedeckten Daten zu retournieren.</p>
 <pre>
 &lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
-  &lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;
-</pre>
-<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft.</p>
+  &lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;<br>	&lt;ExtendedValidation&gt;true&lt;/ExtendedValidation&gt;</pre>
+<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft. Das optionale Element <code>ExtendedValidation</code> kann daf&uuml;r genutzt werden den Formvalidierungsmodus f&uuml;r XAdES Signaturen zu aktivieren. Diesem Fall enth&auml;lt die Response spezifische Informationen bez&uuml;glich des XAdES Profils der Signatur und erweiterte Zertifikatspr&uuml;fungsergebnisse.</p>
 <pre>
   &lt;VerifySignatureInfo&gt;
     &lt;VerifySignatureEnvironment Reference=&quot;http://localhost:8080/referencedData/XMLDocument.signed.xml&quot;/&gt;
@@ -877,9 +876,10 @@ positive Ganzzahl repr&auml;sentiert, die auf das beinhaltende <code>dsig:Manife
   &lt;CertificateCheck&gt;
     &lt;Code&gt;0&lt;/Code&gt;
   &lt;/CertificateCheck&gt;
+	&lt;FormCheckResult&gt;<br>  	&lt;Code&gt;1&lt;/Code&gt;<br>		&lt;Name&gt;LTA&lt;/Name&gt;<br>	&lt;/FormCheckResult&gt;<br>	&lt;FormCheckResult&gt;<br>		&lt;Code&gt;1&lt;/Code&gt;<br>		&lt;Name&gt;LT&lt;/Name&gt;<br>	&lt;/FormCheckResult&gt;<br>	&lt;FormCheckResult&gt;<br>		&lt;Code&gt;1&lt;/Code&gt;<br>		&lt;Name&gt;T&lt;/Name&gt;<br>	&lt;/FormCheckResult&gt;<br>	&lt;FormCheckResult&gt;<br>		&lt;Code&gt;1&lt;/Code&gt;<br>		&lt;Name&gt;B&lt;/Name&gt;<br>	&lt;/FormCheckResult&gt;<br>	&lt;ExtendedCertificateCheck&gt;<br>		&lt;Major&gt;<br>			&lt;Code&gt;2&lt;/Code&gt;<br>			Name&gt;INDETERMINATE&lt;/Name&gt;<br>		&lt;/Major&gt;<br>		&lt;Minor&gt;<br>			&lt;Code&gt;13&lt;/Code&gt;<br>			&lt;Name/&gt;<br>		&lt;/Minor&gt;<br>	&lt;/ExtendedCertificateCheck&gt;
 &lt;/VerifyXMLSignatureResponse&gt;
 </pre>
-<p>Die Elemente <code>SignatureCheck</code> und <code>CertificateCheck</code> enthalten die Resultate der kryptographischen Pr&uuml;fung der Signatur sowie der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
+<p>Die Elemente <code>SignatureCheck</code> und <code>CertificateCheck</code> enthalten die Resultate der kryptographischen Pr&uuml;fung der Signatur sowie der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>). Die Elemente <code>FormCheckResult</code> enthalten die Ergebnisse zu den einzelnen Formvalidierungen und das Element <code>ExtendedCertificateCheck</code> enthalten die Ergebnisse zum erweiterten Zertifikatscheck.</p>
 <h4><a name="webservice_xmlrequests_pruefungxml_xmldsigmanifest"></a>2.1.4.3 Pr&uuml;fung eines XMLDSIG-Manifests </h4>
 <h5>Request</h5>
 <p>Dieses  Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.XMLDSigManifest.xml" target="_blank"><code>VerifyXMLSignatureRequest.XMLDSigManifest.xml</code></a>) demonstriert die Pr&uuml;fung eines in der  XML-Signatur vorhandenden <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-Manifest" target="_blank">Manifests nach XMLDSig</a>. Bitte beachten Sie, dass  der  dargestellte Request zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>