aboutsummaryrefslogtreecommitdiff
path: root/release-infos/handbook
diff options
context:
space:
mode:
authorThomas <>2023-05-02 11:18:40 +0200
committerThomas <>2023-05-02 11:18:40 +0200
commitc9bda98d42fa727bbc5e19f5121acd7bed292971 (patch)
treeb26856c24b8e18a78ebf5924678c05d6cfa748c0 /release-infos/handbook
parentdafc76624606f7d47f65006a6bf4695c3a0cd1a9 (diff)
downloadmoa-sig-c9bda98d42fa727bbc5e19f5121acd7bed292971.tar.gz
moa-sig-c9bda98d42fa727bbc5e19f5121acd7bed292971.tar.bz2
moa-sig-c9bda98d42fa727bbc5e19f5121acd7bed292971.zip
doc(core): update handbook and release notes
Diffstat (limited to 'release-infos/handbook')
-rw-r--r--release-infos/handbook/handbook/config/MOA-SPSS-config-3.2.0.xsd (renamed from release-infos/handbook/handbook/config/MOA-SPSS-config-3.0.0.xsd)20
-rw-r--r--release-infos/handbook/handbook/config/config.html104
2 files changed, 85 insertions, 39 deletions
diff --git a/release-infos/handbook/handbook/config/MOA-SPSS-config-3.0.0.xsd b/release-infos/handbook/handbook/config/MOA-SPSS-config-3.2.0.xsd
index c9739d3..cb405c3 100644
--- a/release-infos/handbook/handbook/config/MOA-SPSS-config-3.0.0.xsd
+++ b/release-infos/handbook/handbook/config/MOA-SPSS-config-3.2.0.xsd
@@ -307,12 +307,28 @@
<xs:sequence>
<xs:element name="X509IssuerName" type="xs:string"/>
<xs:element name="Interval" type="xs:integer"/>
- </xs:sequence>
+ </xs:sequence>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
- </xs:element>
+ </xs:element>
+ <xs:element name="ShortTermedCertificates" minOccurs="0" maxOccurs="1">
+ <xs:complexType>
+ <xs:sequence maxOccurs="unbounded">
+ <xs:element name="CA">
+ <xs:complexType>
+ <xs:sequence>
+ <xs:element name="X509IssuerName" type="xs:string"/>
+ <xs:element name="ValidityPeriod" type="xs:integer"/>
+ </xs:sequence>
+ </xs:complexType>
+ </xs:element>
+ </xs:sequence>
+ <xs:attribute name="defaultValidityPeriod" type="xs:integer" />
+ <xs:attribute name="checkETSIValidityAssuredExtension" type="xs:boolean" />
+ </xs:complexType>
+ </xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
diff --git a/release-infos/handbook/handbook/config/config.html b/release-infos/handbook/handbook/config/config.html
index 3457aa3..0d718ed 100644
--- a/release-infos/handbook/handbook/config/config.html
+++ b/release-infos/handbook/handbook/config/config.html
@@ -5,7 +5,7 @@
<title>MOA SS und SP - Konfiguration</title>
<link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
-<body link="#990000">
+<body link="#990000">
<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
<tr>
<td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
@@ -13,9 +13,9 @@
<td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
</tr>
</table>
- <hr/>
- <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturpr&uuml;fung (SP)</a></p>
- <p class="subtitle">Konfiguration</p>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturpr&uuml;fung (SP)</a></p>
+ <p class="subtitle">Konfiguration</p>
<hr/>
<h1>Inhalt</h1>
<ol>
@@ -90,8 +90,8 @@
<li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_maxrevocationage">Maximales Alter der Widerrufsinformation</a></li>
<li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_serviceorder">Reihenfolge der Widerrufsdienste</a></li>
<li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving">Archivierung von Widerrufsinformationen</a></li>
- <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint">Manuelle
- Konfiguration von Verteilungspunkten f&uuml;r Widerrufsinformationen</a></li>
+ <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint">Manuelle Konfiguration von Verteilungspunkten f&uuml;r Widerrufsinformationen</a></li>
+ <li><a href="#konfigurationsparameter_sp_certificatevalidation_shortterm_certificates">Validierung von short-term Zertifikaten</a></li>
<li><a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a></li>
</ol>
</li>
@@ -143,7 +143,7 @@
</tr>
</table>
<h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2>
- <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-3.0.0.xsd">MOA-SPSS-config-3.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
+ <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-3.2.0.xsd">MOA-SPSS-config-3.2.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
<h3><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>1.2.1
Aktualisierung auf das Format von MOA SP/SS 1.3</h3>
<p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, &uuml;bersichtlicheres Format f&uuml;r die
@@ -160,7 +160,7 @@
Pfade.</span>). </p>
<h2><a name="uebersicht_bekanntmachung" id="uebersicht_bekanntmachung"></a>1.3 Bekanntmachung der Konfigurationsdatei</h2>
<p>Die zentrale Konfigurationsdatei von MOA SP/SS wird der <span class="term">Java Virtual Machine</span>, in der MOA SP/SS l&auml;uft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.spss.server.configuration</code>; als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p>
- <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml
+ <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml
</pre>
<p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei f&uuml;r MOA SP/SS erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p>
<h3><a name="uebersicht_bekanntmachung_laufenderbetrieb" id="uebersicht_bekanntmachung_laufenderbetrieb"></a>1.3.1
@@ -215,7 +215,7 @@
</ul></td>
</tr>
</table>
-
+
<h3><a name="konfigurationsparameter_allgemein_externaluris" id="konfigurationsparameter_allgemein_externaluris"></a>2.1.2 Aufl&ouml;sen externer URIs</h3>
<p>Standardm&auml;&szlig;ig ist das Aufl&ouml;sen von externen URIs (inkl. localhost) deaktiviert (d.h. keines der nachfolgenden Konfigurationselement <code>cfg:PermitExternalUris</code> bzw. <code>cfg:ForbidExternalUris</code> existiert). Es gibt jedoch zwei M&ouml;glichkeiten das Aufl&ouml;sen zu aktivieren: </p>
<ul>
@@ -243,7 +243,7 @@
<li>Element <code>cfg:Port</code>: Dieses optionale Element vom Typ <code>xs:int</code> legt eine bestimmte Portnummer fest. Ist eine Portnummer angegeben werden alle URIs mit obiger IP-Adresse und dieser Portnummer nicht aufgel&ouml;st. Ist keine Portnummer angegeben, sind alle Portnummern gesperrt.</li>
</ul>
</ul>
-
+
<p><b>Empfehlung:</b> Bei aktiviertem Aufl&ouml;sen von externen URIs sollten sowohl <em>localhost</em> als auch der <em>gesamte Intranetbereich</em> in die Blacklist eingetragen werden. Hierzu eine beispielhafte Blacklist: </p>
<p><code>&lt;cfg:BlackListUri&gt;<br>
&lt;cfg:IP&gt;192.168&lt;/cfg:IP&gt;<br>
@@ -253,7 +253,7 @@
&lt;/cfg:BlackListUri&gt;</code></p></td>
</tr>
</table>
-
+
<h4><a name="konfigurationsparameter_allgemein_externaluris_whitelisting" id="konfigurationsparameter_allgemein_externaluris_whitelisting"></a>2.1.2.2 Whitelisting</h4>
<table class="fixedWidth" border="1" cellpadding="2">
<tr>
@@ -416,7 +416,7 @@
an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet.
Vergleichen Sie den folgenden beispielhaften Auszug:<br>
<pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7
-INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
+INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre>
Der Wert der Eigenschaft <code>ID</code> des Logging-Eintrags gliedert sich in drei Teile:
<ol>
@@ -441,10 +441,10 @@ INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key
<pre>certtool -info &lt;certfilename&gt;</pre> <p><code>&lt;certfilename&gt;</code> enth&auml;lt den Namen der DER-kodierten Zertifikatsdatei, f&uuml;r
die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert
werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p>
- <pre>SubjectDN (RFC2253):
+ <pre>SubjectDN (RFC2253):
CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT
-IssuerDN (RFC2253) :
- CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number :
+IssuerDN (RFC2253) :
+ CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number :
9</pre> <p>Die Werte f&uuml;r <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen
den Werten f&uuml;r <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td>
</tr>
@@ -519,11 +519,11 @@ IssuerDN (RFC2253) :
</p>
<pre>http://www.w3.org/2000/09/xmldsig#sha1
http://www.w3.org/2000/09/xmldsig#sha256<br>http://www.w3.org/2000/09/xmldsig#sha384<br>http://www.w3.org/2000/09/xmldsig#sha512 </pre>
- Wird das Element nicht angegeben, wird - abh&auml;ngig von der konfigurierten XAdES-Version (siehe <a href="#konfigurationsparameter_ss_xades">XAdES-Version</a>)- folgender Wert als Default-Wert verwendet:
+ Wird das Element nicht angegeben, wird - abh&auml;ngig von der konfigurierten XAdES-Version (siehe <a href="#konfigurationsparameter_ss_xades">XAdES-Version</a>)- folgender Wert als Default-Wert verwendet:
<p>F&uuml;r XAdES Version 1.1.1:</p>
- <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre>
+ <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre>
<p>F&uuml;r XAdES Version 1.4.2:</p>
-<pre>http://www.w3.org/2000/09/xmldsig#sha256</pre>
+<pre>http://www.w3.org/2000/09/xmldsig#sha256</pre>
<p>F&uuml;r die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation f&uuml;r XML-Signaturen</a>.</p></td>
</tr>
</table>
@@ -765,7 +765,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
oder <code>pkix</code> (Schalenmodell). </li>
<li><code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet
werden, um f&uuml;r bestimmte Vertrauensanker (vergleiche n&auml;chsten Parameter <code>cfg:TrustProfile</code>)
- Ausnahmen vom Default-Modell vorzugeben.
+ Ausnahmen vom Default-Modell vorzugeben.
Das Element weist folgende Kindelemente auf:
<ul>
<li><code>cfg:Identification</code>: Dieses obligatorische Element identifiziert den Vertrauensanker,
@@ -834,8 +834,8 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei
repr&auml;sentiert ein explizit erlaubtes Signatorzertifikat. </li>
<li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterst&uuml;tzung f&uuml;r dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenw&auml;rtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten stehen und den Anforderungen der nachstehenden Kind-Elemente entsprechen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die &Uuml;berpr&uuml;fung auf qualifiziertes Zertifikat (QC-&Uuml;berpr&uuml;fung) und die &Uuml;berpr&uuml;fung auf sichere Signaturerstellungseinheit (SSCD-&Uuml;berpr&uuml;fung) &uuml;ber die EU-TSL durchgef&uuml;hrt. <br>
- Zus&auml;tzliche k&ouml;nnen optionale Kind-Element
- angegeben werden:
+ Zus&auml;tzliche k&ouml;nnen optionale Kind-Element
+ angegeben werden:
<ul>
<li><code>cfg:CountrySelection</code> Dieses Element definiert eine komma-separierte Liste an zweistelligen L&auml;nderk&uuml;rzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen L&auml;nder herangezogen. <strong><br>
Defaultwert</strong>: alle L&auml;nder</li>
@@ -950,7 +950,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
unten) angegeben werden. Zul&auml;ssige Werte f&uuml;r diesen Parameter sind <code>true</code> oder <code>false</code>.</p> </td>
</tr>
</table>
-
+
<table class="fixedWidth" border="1" cellpadding="2">
<tr>
<td>Name</td>
@@ -1009,7 +1009,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
qualifizierten Java-Klassennamen des JDBC-Treibers an, der von MOA SP zur Ansprache der f&uuml;r
die CRL-Archivierung zu verwendenden Datenbank ben&uuml;tzt werden soll.</p>
<p class="remark">Bitte beachten Sie: Informationen zum Anlegen einer Datenbank in postgreSQL finden Sie in <a href="../install/install.html#webservice_erweiterungsm&#246;glichkeiten_datenbank_postgresql">Abschnitt
- 2.2.2.1</a> des Installationshandbuchs.</p>
+ 2.2.2.1</a> des Installationshandbuchs.</p>
</li>
</ul>
</li>
@@ -1061,14 +1061,14 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
</li>
<li>Element <code>cfg:OCSPDP</code>: Dieses Element verweist auf einen Verteilungspunkt, an dem die
Widerrufsinformation von einem OCSP-Responder bezogen werden kann. Es weist folgendes Kind-Element
- auf:
+ auf:
<ul>
<li></li>
</ul>
Element<code> cfg:Location</code>: Der Wert dieses obligatorischen Elements vom Typ<code> xs:anyURI</code> enth&auml;lt
die URL f&uuml;r den zu konfigurierenden Verteilungspunkt. Es werden die Protokolle HTTP, HTTPS und
LDAP unterst&uuml;tzt.</li>
- </ul>
+ </ul>
<p>Hinweis: Die Elemente <code>cfg:CRLDP</code> bzw. <code>cfg:OSCPDP</code> k&ouml;nnen beliebig oft als Kinder von <code>cfg:CRLDistributionPoint</code> angegeben
werden. Die Reihenfolge spielt dabei keine Rolle. Jedenfalls muss aber eines dieser beiden Elemente
angegeben werden. </p></td>
@@ -1088,26 +1088,26 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
</tr>
<tr>
<td>Erl&auml;uterung</td>
- <td><p>Das Element <code>cfg:</code><code>CrlRetentionIntervals</code> kann
- dazu verwendet werden, um Retention Intervalle f&uuml;r bestimmte CAs zu
+ <td><p>Das Element <code>cfg:</code><code>CrlRetentionIntervals</code> kann
+ dazu verwendet werden, um Retention Intervalle f&uuml;r bestimmte CAs zu
konfigurieren. <br />
- Gem&auml;ß <a href="http://www.ietf.org/rfc/rfc5280.txt" target="_blank">RFC 5280</a>
- muss ein widerrufenes Zertifikat solange auf Widerrufslisten
- aufscheinen, bis das Zertifikat abgelaufen ist und noch eine CRL-Periode
+ Gem&auml;&szlig; <a href="http://www.ietf.org/rfc/rfc5280.txt" target="_blank">RFC 5280</a>
+ muss ein widerrufenes Zertifikat solange auf Widerrufslisten
+ aufscheinen, bis das Zertifikat abgelaufen ist und noch eine CRL-Periode
dar&uuml;ber hinaus. Auf allen weiteren CRLs muss das Zertifikat nicht mehr
- gef&uuml;hrt werden. Daraus folgt, dass MOA SP f&uuml;r abgelaufene Zertifikate in
- der Regel keine CRL-Statusabfrage durchf&uuml;hren kann, da nicht sichergestellt
- ist, dass eine aktuell geladene Widerrufssliste f&uuml;r derartige
+ gef&uuml;hrt werden. Daraus folgt, dass MOA SP f&uuml;r abgelaufene Zertifikate in
+ der Regel keine CRL-Statusabfrage durchf&uuml;hren kann, da nicht sichergestellt
+ ist, dass eine aktuell geladene Widerrufssliste f&uuml;r derartige
Zertifikate noch adeqaute Widerrufsinformationen enth&auml;lt. <br />
- Garantiert eine CA jedoch, dass widerrufene Zertifikate noch &uuml;ber deren
- Ablauf hinaus auf der Widerrufsliste gef&uuml;hrt werden, so kann f&uuml;r diese
+ Garantiert eine CA jedoch, dass widerrufene Zertifikate noch &uuml;ber deren
+ Ablauf hinaus auf der Widerrufsliste gef&uuml;hrt werden, so kann f&uuml;r diese
CA ein Retention Intervall definiert werden. <p />
Das <code>cfg:</code><code>CrlRetentionIntervals</code> Element weist folgendes Kind-Element auf:</p>
<ul>
<li>Element <code>cfg:CA</code>: Dieses Element legt ein Retention Intervall f&uuml;r eine CA fest und kann beliebig oft vorkommen. Es weist folgende Kind-Elemente auf:</li>
<ul>
<li>Element <code>cfg:X509IssuerName</code>: Dieses Element vom Typ <code>xs:string</code> muss einmal vorkommen und definiert die entsprechende CA &uuml;ber einen RFC2253 String. Das (im folgenden Element) festgelegte Intervall wird f&uuml;r alle Widerrufslisten, die von dieser CA ausgestellt werden, verwendet.</li></li>
-<li>Element <code>cfg:Interval</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enth&auml;lt das Retention Intervall. Es gibt den Zeitraum in Tagen an, &uuml;ber
+<li>Element <code>cfg:Interval</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enth&auml;lt das Retention Intervall. Es gibt den Zeitraum in Tagen an, &uuml;ber
den widerrufene Zertifikate &uuml;ber deren Ablauf hinaus auf Widerrufslisten gef&uuml;hrt werden.
Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. In diesem Fall wird ein widerrufenes Zertifikat niemals von den Widerrufslisten entfernt.<br />
</ul>
@@ -1116,6 +1116,36 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
</tr>
</table>
+ <h5><a name="konfigurationsparameter_sp_certificatevalidation_shortterm_certificates" id="konfigurationsparameter_sp_certificatevalidation_shortterm_certificates"></a>2.3.1.3.7 Validierung von Short-Term Zertifikaten </h5>
+ <table class="fixedWidth" border="1" cellpadding="2">
+ <tr>
+ <td>Name</td>
+ <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:ShortTermedCertificates</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>Null oder einmal </td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Das Element <code>cfg:</code><code>ShortTermedCertificates</code> kann
+ dazu verwendet werden, um die Validierung von short-term Zertifikaten zu konfigurieren. <br />
+ <br>
+ Das <code>cfg:</code><code>ShortTermedCertificates</code> Element weist folgendes Kind-Element auf:</p>
+ <ul>
+ <li>Element <code>cfg:CA</code>: Dieses Element legt ein G&uuml;ltigkeitsintervall f&uuml;r eine CA fest und kann beliebig oft vorkommen. Es weist folgende Kind-Elemente auf:</li>
+ <ul>
+ <li>Element <code>cfg:X509IssuerName</code>: Dieses Element vom Typ <code>xs:string</code> muss einmal vorkommen und definiert die entsprechende CA &uuml;ber einen RFC2253 String. Die (im folgenden Element) festgelegte ValidityPeriod wird f&uuml;r alle Widerrufsprf&uuml;fungen, ff&uuml;r Zertifikate die von dieser CA ausgestellt wurden, verwendet.</li></li>
+ <li>Element <code>cfg:ValidityPeriod</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enth&auml;lt das G&uuml;ltigkeitsintervall in Minuten f&uuml;r welches keine Widerrufspr&uuml;fung durchgef&uuml;hrt wird. Ist der Zertifikatsg&uuml;ltigkeitszeitraum l&auml;nger als der hier eingestellt Wert wird eine regul&auml;re Widerrufspr&uuml;fung durchgef&uuml;hrt. Wird der Wert auf 0 gesetzt, wird die short-term Eigenschaft f&uuml;r diese CA ignoriert.<br />
+ </ul>
+ <li>Attribut <code>cfg:defaultValidityPeriod</code>: Dieses Attribut definiert eine Default ValidityPeriod (siehe Element <code>cfg:ValidityPeriod</code>) f&uuml;r alle CA Zertifikate. Ist dieses Attribut nicht gesetzt wird der Defaultwert 0 verwendet wodurch die spezielle Behandlung von short-term Zertifikaten, sofern nicht spezifisch konfiguriert, deaktiviert ist.</li>
+ <li>Attribut <code>cfg:checkETSIValidityAssuredExtension</code>: Dieses Attribut aktiviert/deaktiviert (<code>true/false</code>) die Auswertung der X509 Extension "ETSI EN 319 412-1 - Validity Assured - Short Term" zur Pr&uuml;fung von short-term Zertifikaten. Ist dieses Attribut nicht gesetzt wird der Defaultwert <code>true</code> verwendet.</li>
+ </ul>
+ </td>
+ </tr>
+ </table>
+
+
<h5><a name="konfigurationsparameter_sp_certificatevalidation_tslconfiguration" id="konfigurationsparameter_sp_certificatevalidation_tslconfiguration"></a>2.3.1.3.7
TSL Konfiguration</h5>
@@ -1160,7 +1190,7 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
</ul>
<p><em>Hinweis</em>: Um die TSL &Uuml;berpr&uuml;fung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL &Uuml;berpr&uuml;fung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td>
</tr>
-
+
</table>
<h3><a name="konfigurationsparameter_sp_verifytransformsinfoprofile" id="konfigurationsparameter_sp_verifytransformsinfoprofile"></a>2.3.2 Profil f&uuml;r Transformationen</h3>
<table class="fixedWidth" border="1" cellpadding="2">