diff options
-rw-r--r-- | release-infos/handbook/handbook/config/config.html | 24 | ||||
-rw-r--r-- | release-infos/handbook/handbook/usage/usage.html | 23 |
2 files changed, 37 insertions, 10 deletions
diff --git a/release-infos/handbook/handbook/config/config.html b/release-infos/handbook/handbook/config/config.html index 184e905..3457aa3 100644 --- a/release-infos/handbook/handbook/config/config.html +++ b/release-infos/handbook/handbook/config/config.html @@ -675,9 +675,31 @@ Parameter für MOA SP </h2> </td> </tr> </table> + <table border="1" cellpadding="2" class="fixedWidth"> + <tr> + <td> Name </td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:PathConstruction/cfg:AutoAddEECertificates</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>optional, jedoch genau einmal</td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p> Der Inhalt dieses Elements vom Typ <code>xs:boolean</code> gibt an, ob End-User Zertifikate, die in einer + zu prüfenden + Signatur enthalten sind bzw. bei der Zertifikatspfaderstellung durch Auswertung der Zertifikatserweiterung <span class="term">Authority + Information Access</span> (siehe + auch Parameter <code>cfg:UseAuthorityInfoAccess</code>) aus dem Internet geladen werden, automatisch + in den lokalen Zertifikatsspeicher hinzugefügt werden sollen.</p> + <p>Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.<br> + Defaultwert: <code>false</code> + </p></td> + </tr> + </table> <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_useauthorityinfoaccess"></a>2.3.1.1.2 Auswertung der Zertifikatserweiterung <span class="term">Authority Information Access</span> - </h5> +</h5> <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td> Name </td> diff --git a/release-infos/handbook/handbook/usage/usage.html b/release-infos/handbook/handbook/usage/usage.html index 6e42d4a..9b6400a 100644 --- a/release-infos/handbook/handbook/usage/usage.html +++ b/release-infos/handbook/handbook/usage/usage.html @@ -839,7 +839,7 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< <pre> <VerifyXMLSignatureRequest xmlns="http://reference.e-government.gv.at/namespace/moa/20020822#"> <DateTime>2004-08-18T17:00:00+02:00</DateTime><br> <ExtendedValidation>true</ExtendedValidation></pre> -<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft. Das optionale Element <code>ExtendedValidation</code> kann dafür genutzt werden den Formvalidierungsmodus für XAdES Signaturen zu aktivieren. Diesem Fall enthält die Response spezifische Informationen bezüglich des XAdES Profils der Signatur und erweiterte Zertifikatsprüfungsergebnisse.</p> +<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft. Das optionale Element <code>ExtendedValidation</code> kann dafür genutzt werden den Formvalidierungsmodus für XAdES Signaturen zu aktivieren. Diesem Fall enthält die Response spezifische Informationen bezüglich des XAdES Profils der Signatur und erweiterte Prüfungsergebnisse.</p> <pre> <VerifySignatureInfo> <VerifySignatureEnvironment Reference="http://localhost:8080/referencedData/XMLDocument.signed.xml"/> @@ -866,7 +866,7 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< </pre> <p>Die Response enthält zunächst in <code>SignerInfo/dsig:X509Data</code> Informationen über den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p> <pre> - <HashInputData PartOf="SignedInfo"> + <HashInputData HashAlgorithm="SHA-256" PartOf="SignedInfo"> <Base64Content>PGRvYzp...hNTERvY3VtZW50Pg==</Base64Content> </HashInputData> </pre> @@ -890,6 +890,9 @@ würde<code> HashInputData</code> in einem solchen Fall ein weiteres Attribu positive Ganzzahl repräsentiert, die auf das beinhaltende <code>dsig:Manifest</code> verweist.). </p> <p>Der Inhalt wird dabei stets mittels <code>Base64Content</code> in base64-kodierter Form geliefert.</p> +<pre><SignatureAlgorithm>SHA256withECDSA</SignatureAlgorithm></pre> +Wird im Request der <code>ExtendedValidation</code> Modus aktiviert, beinhaltet die Response den verwendeten Signaturalgorithmus im Element <code>SignatureAlgorithm</code>. +<p> </p> <pre> <SignatureCheck> <Code>0</Code> @@ -1106,10 +1109,6 @@ positive Ganzzahl repräsentiert, die auf das beinhaltende <code>dsig:Manife <td align="center">25</td> <td>Die PAdES Signatur verwendet einen unbekannter SubFilter und kann somit nicht validiert werden.</td> </tr> - <tr> - <td align="center">26</td> - <td>PDF-AS Signatur (nach PDF-AS <= 3.x)</td> - </tr> </table> <p> </p> <h4><a name="webservice_xmlrequests_pruefungxml_xmldsigmanifest"></a>2.1.4.3 Prüfung eines XMLDSIG-Manifests </h4> @@ -1514,12 +1513,14 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< <QualifiedCertificate/> </dsig:X509Data> </SignerInfo> - <SigningTime>2017-01-27T13:56:26Z</SigningTime><br> <SignatureCheck><br> <Code>0</Code><br> </SignatureCheck><br> <CertificateCheck><br> ... + <SigningTime>2017-01-27T13:56:26Z</SigningTime> + <SignatureAlgorithm>SHA256withECDSA</SignatureAlgorithm><br> <SignatureCheck><br> <Code>0</Code><br> </SignatureCheck><br> <CertificateCheck><br> ... + <SignatureProperties><br> <SignatureCoversFullPDF>true</SignatureCoversFullPDF><br> <SignatureByteRange>0,83991,92185,19061</SignatureByteRange><br> </SignatureProperties> </SignatureResult> <SignatureResult> ... </pre> -<p>Die Response beinhaltet als erstes kein, ein oder mehrere <code>SignatureResult</code> Elemente, welche als Kindelemende die Prüfergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> verwiesen.</p> +<p>Die Response beinhaltet als erstes kein, ein oder mehrere <code>SignatureResult</code> Elemente, welche als Kindelemende die Prüfergebnisse der einzelnen im PDF Dokument gefundenen Signaturen beinhalten. Die Kindelement sind weitgehend identisch zur Response bei CMS Signaturen aufgebau. Somit sei hier auf das Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> verwiesen. Zusätzlich zu den in Kapitel <a href="-webservice_xmlrequests_pruefungcms_erweitert">2.1.3.2</a> beschriebenen Elementen, beinhaltet das <code>SignatureResult</code> im Falle einer <code>VerifyPDFSignatureResponse</code> weitere Eigenschaften zur geprüften Signatur. Diese werden im Element <code>SignatureProperties</code> dargestellt und beinhalten die folgenden beiden Kind-Elemente. Das Element <code>SignatureCoversFullPDF</code> mit den möglichen Werten <code>true/false</code> zeigt an ob die PAdES Signatur das Dokument vollständig umfasst. Das Element <code>SignatureByteRange</code> definiert technisch die Bereiche des Dokuments welche in die Signaturbereichnung eingeflossen sind. Das Format des Elementwerts ist identisch zur PDF 1.7 Spezifikation (siehe Table 8.102 Entries in a signature dictionary) und besteht aus Integer-Paaren mit Byte-Offset und der Länge in Byte. (z.B. zwei Blöcke: Paar 1: Offset 0 Byte, Länge 83991 Byte und Paar 2: Offset 92185 Byte, Länge 19061 Byte)</p> <p> </p> <p> </p> @@ -1630,10 +1631,14 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT< <th>Spezifikation</th> <th>Link</th> </tr> - <tr id="sl"> + <tr id="sl"> <td><p>Security Layer Spezifikation Version 1.2.7</p></td> <td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/core/core.html#core" target="_blank">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/core/core.html#core</a></td> </tr> + <tr> + <td>PDF Spezifikation 1.7</td> + <td>https://www.adobe.com/content/dam/acom/en/devnet/pdf/pdfs/PDF32000_2008.pdf</td> + </tr> </tbody> </table> </body> |