aboutsummaryrefslogtreecommitdiff
path: root/moaSig/handbook
diff options
context:
space:
mode:
Diffstat (limited to 'moaSig/handbook')
-rw-r--r--moaSig/handbook/handbook/config/config.html76
-rw-r--r--moaSig/handbook/handbook/usage/usage.html8
2 files changed, 66 insertions, 18 deletions
diff --git a/moaSig/handbook/handbook/config/config.html b/moaSig/handbook/handbook/config/config.html
index 3ef04f9..416d38a 100644
--- a/moaSig/handbook/handbook/config/config.html
+++ b/moaSig/handbook/handbook/config/config.html
@@ -143,7 +143,7 @@
</tr>
</table>
<h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2>
- <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-2.0.0.xsd">MOA-SPSS-config-2.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
+ <p>Die Konfiguration von MOA SP/SS erfolgt zentral &uuml;ber eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-2.0.0.xsd">MOA-SPSS-config-3.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erl&auml;utert die Konfigurationsm&ouml;glichkeiten im Einzelnen.</p>
<h3><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>1.2.1
Aktualisierung auf das Format von MOA SP/SS 1.3</h3>
<p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, &uuml;bersichtlicheres Format f&uuml;r die
@@ -621,9 +621,39 @@ http://www.w3.org/2000/09/xmldsig#sha256<br>http://www.w3.org/2000/09/xmldsig#sh
Parameter f&uuml;r MOA SP </h2>
<h3> <a name="konfigurationsparameter_sp_certificatevalidation" id="konfigurationsparameter_sp_certificatevalidation"></a>2.3.1
Zertifikatsvalidierung</h3>
+ <table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td> Name </td>
+ <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:ConnectionTimeout</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>Null mal bis einmal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p> Der Inhalt dieses Elements vom Typ <code>xs:string</code> gibt an, welcher Timeout in Sekunden bei URL Verbindungsaufbau gesetzt wird.</p>
+ <p>Zul&auml;ssige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)</p></td>
+ </tr>
+ </table>
+ <table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td> Name </td>
+ <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:ReadTimeout</code></td>
+ </tr>
+ <tr>
+ <td>Gebrauch</td>
+ <td>Null mal bis einmal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Der Inhalt dieses Elements vom Typ <code>xs:string</code> gibt an, welcher Timeout in Sekunden beim Empfangen von Daten &uuml;ber eine URL gesetzt wird.</p>
+ <p>Zul&auml;ssige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)</p></td>
+ </tr>
+ </table>
<h4><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction"></a>2.3.1.1
- Konstruktion des Zertifikatspfads</h4>
- <h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates"></a>2.3.1.1.1 Cachen von Zertifikaten </h5>
+</h4>
+<h5><a name="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates" id="konfigurationsparameter_sp_certificatevalidation_pathconstruction_autoaddcertificates"></a>2.3.1.1.1 Cachen von Zertifikaten </h5>
<table class="fixedWidth" border="1" cellpadding="2">
<tr>
<td> Name </td>
@@ -762,7 +792,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
<p>In MOA SP k&ouml;nnen beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von
MOA SP gibt im Request zur Signaturpr&uuml;fung an, gegen welches Vertrauensprofil MOA SP die Zertifikatspr&uuml;fung
vornehmen soll.</p>
- <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist folgende Kindelemente
+ <p>Das Element <code>cfg:</code><code>TrustProfile</code> weist folgende Kindelemente
auf:</p>
<ul>
<li><code>cfg:Id</code>: Dieses obligatorische Element vom Typ <code>xs:token</code> enth&auml;lt einen
@@ -781,12 +811,22 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr
gespeichert ist. Eine absolute URL muss als Protokoll-Teil <code>file</code> verwenden. Das referenzierte
Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei
repr&auml;sentiert ein explizit erlaubtes Signatorzertifikat. </li>
- <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterst&uuml;tzung f&uuml;r dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenw&auml;rtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten befugt sind qualifizierte Zertifikate auszustellen und dessen Zertififierungsdiensteanbieter unter dem ServiceLevel &quot;accredited&quot; oder &quot;undersupervision&quot; stehen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die &Uuml;berpr&uuml;fung auf qualifiziertes Zertifikat (QC-&Uuml;berpr&uuml;fung) und die &Uuml;berpr&uuml;fung auf sichere Signaturerstellungseinheit (SSCD-&Uuml;berpr&uuml;fung) &uuml;ber die EU-TSL durchgef&uuml;hrt.<br>
- Zus&auml;tzliche kann ein optionales Kind-Element
- <code>cfg:CountrySelection</code> angegeben werden. Dieses Element definiert eine komma-separierte Liste an zweistelligen L&auml;nderk&uuml;rzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen L&auml;nder herangezogen.<br>
- <strong>Wichtig</strong>: Es k&ouml;nnen zus&auml;tzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzuf&uuml;gen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-&Uuml;berpr&uuml;fung gegebenenfalls nicht erfolgreich durchgef&uuml;hrt werden kann.<br>
- <strong>Wichtig</strong>: Bei aktivierter TSL-Unterst&uuml;tzung muss einen entsprechende TSL Konfiguration angegeben werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a>).</li>
- </ul></td>
+ <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterst&uuml;tzung f&uuml;r dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenw&auml;rtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten stehen und den Anforderungen der nachstehenden Kind-Elemente entsprechen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die &Uuml;berpr&uuml;fung auf qualifiziertes Zertifikat (QC-&Uuml;berpr&uuml;fung) und die &Uuml;berpr&uuml;fung auf sichere Signaturerstellungseinheit (SSCD-&Uuml;berpr&uuml;fung) &uuml;ber die EU-TSL durchgef&uuml;hrt. <br>
+ Zus&auml;tzliche k&ouml;nnen optionale Kind-Element
+ angegeben werden:
+ <ul>
+ <li><code>cfg:CountrySelection</code> Dieses Element definiert eine komma-separierte Liste an zweistelligen L&auml;nderk&uuml;rzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen L&auml;nder herangezogen. <strong><br>
+ Defaultwert</strong>: alle L&auml;nder</li>
+ <li><code>cfg:AllowedTSPStatus</code> Dieses Element definiert eine komma-separierte Liste an ServiceLevel welche ein Zertififierungsdiensteanbieter f&uuml;r diesen Vertrauensanker erf&uuml;llen muss. Die Angabe erfolgt als 'ServiceLevel' URI Identifier entsprechend der aktuellen TSL Spezifikation. (z.B. http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/recognisedatnationallevel)<br>
+ <strong>Defaultwert:</strong> http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/recognisedatnationallevel,<br>
+ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/accredited,http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/undersupervision</li>
+ <li><code>cfg:AllowedTSPServiceTypes</code> Dieses Element definiert eine komma-separierte Liste an ServiceTypen welche ein Zertififierungsdiensteanbieter f&uuml;r diesen Vertrauensanker erf&uuml;llen muss. Die Angabe erfolgt als Regex Patterns welche die 'ServiceType' URI Identifier entsprechend der aktuellen TSL Spezifikation abbilden. (z.B. http://uri\.etsi\.org/TrstSvc/Svctype/Certstatus/.*,.*) <strong><br>
+ Defaultwert:</strong> alle ServiceTypen </li>
+ </ul>
+ </li>
+ </ul>
+ <p><strong>Wichtig</strong>: Es k&ouml;nnen zus&auml;tzlich manuelle Vertrauensanker via <code>cfg:TrustAnchorsLocation</code> konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzuf&uuml;gen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-&Uuml;berpr&uuml;fung gegebenenfalls nicht erfolgreich durchgef&uuml;hrt werden kann.<br>
+ <strong>Wichtig</strong>: Bei aktivierter TSL-Unterst&uuml;tzung muss einen entsprechende TSL Konfiguration angegeben werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a>).</p></td>
</tr>
</table>
<h4><a name="konfigurationsparameter_sp_certificatevalidation_revocationchecking" id="konfigurationsparameter_sp_certificatevalidation_revocationchecking"></a>2.3.1.3
@@ -1083,10 +1123,18 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall.
<em>Hinweis</em>: Der Import der Zertifikate von der EU-TSL ben&ouml;tigt (je nach Verbindung) ca. 90-180 Sekunden. Als Startzeit sollte daher eine Zeit gew&auml;hlt werden, zu der die Auslastung gering ist.
<li>Element <code>cfg:WorkingDirectory</code>: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) f&uuml;r die TSL an. Enth&auml;lt dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.<br>
</li>
- <em>Hinweis</em>: Wird kein <code>cfg:WorkingDirectory</code> Element angegeben so wird defaultm&auml;&szlig;ig <code>tslworking</code> als Arbeitsverzeichnis herangezogen.<br/>
-<strong>
- Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis
- &quot;trust&quot; aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis &quot;eu&quot; m&uuml;ssen jene vertrauensw&uuml;rdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
+ <p><em>Hinweis</em>: Wird kein <code>cfg:WorkingDirectory</code> Element angegeben so wird defaultm&auml;&szlig;ig <code>tslworking</code> als Arbeitsverzeichnis herangezogen.</p>
+ <li>Element <code>cfg:Evaluation</code>: Diese Element hat zwei Kind Elemente
+ <ul>
+ <li>Element <code>cfg:QCQualifier</code>: Diese Element gibt eine Komma-sparierte Liste an ServiceType Qualifiern an welche als QC interpretiert werden und das entsprechende QC Flag in der MOA-SP Response setzen</li>
+ <li>Element <code>cfg:SSCDQualifiern</code>: Diese Element gibt eine Komma-sparierte Liste an Additional-Qualifiern Extentsions an welche als SSCD interpretiert werden und das entsprechende SSCD Flag in der MOA-SP Response setzen<br>
+ <br/>
+ <strong>
+ Wichtig</strong>: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis
+ &quot;trust&quot; aus der <a href="../../../conf/moa-spss/tslworking">Beispiel-Konfiguration</a> beinhalten. In dessen Unterverzeichnis &quot;eu&quot; m&uuml;ssen jene vertrauensw&uuml;rdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist.
+ </li>
+ </ul>
+ </li>
</ul>
<p><em>Hinweis</em>: Um die TSL &Uuml;berpr&uuml;fung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL &Uuml;berpr&uuml;fung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td>
</tr>
diff --git a/moaSig/handbook/handbook/usage/usage.html b/moaSig/handbook/handbook/usage/usage.html
index d36fb13..ef370d4 100644
--- a/moaSig/handbook/handbook/usage/usage.html
+++ b/moaSig/handbook/handbook/usage/usage.html
@@ -817,9 +817,8 @@ O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;
<p>Dieses erweiterte Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Enveloped.xml" target="_blank"><code>VerifyXMLSignatureRequest.Enveloped.xml</code></a>) demonstriert die Pr&uuml;fung einer <span class="term">Enveloped Signature</span>, d. h. einer Signatur, die in ein XML-Dokument integriert ist, die Angabe des Pr&uuml;fzeitpunkts sowie die Anweisung an MOA SP, in der Response die von der Signatur abgedeckten Daten zu retournieren.</p>
<pre>
&lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
- &lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;
-</pre>
-<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft.</p>
+ &lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;<br> &lt;ExtendedValidation&gt;true&lt;/ExtendedValidation&gt;</pre>
+<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft. Das optionale Element <code>ExtendedValidation</code> kann daf&uuml;r genutzt werden den Formvalidierungsmodus f&uuml;r XAdES Signaturen zu aktivieren. Diesem Fall enth&auml;lt die Response spezifische Informationen bez&uuml;glich des XAdES Profils der Signatur und erweiterte Zertifikatspr&uuml;fungsergebnisse.</p>
<pre>
&lt;VerifySignatureInfo&gt;
&lt;VerifySignatureEnvironment Reference=&quot;http://localhost:8080/referencedData/XMLDocument.signed.xml&quot;/&gt;
@@ -877,9 +876,10 @@ positive Ganzzahl repr&auml;sentiert, die auf das beinhaltende <code>dsig:Manife
&lt;CertificateCheck&gt;
&lt;Code&gt;0&lt;/Code&gt;
&lt;/CertificateCheck&gt;
+ &lt;FormCheckResult&gt;<br> &lt;Code&gt;1&lt;/Code&gt;<br> &lt;Name&gt;LTA&lt;/Name&gt;<br> &lt;/FormCheckResult&gt;<br> &lt;FormCheckResult&gt;<br> &lt;Code&gt;1&lt;/Code&gt;<br> &lt;Name&gt;LT&lt;/Name&gt;<br> &lt;/FormCheckResult&gt;<br> &lt;FormCheckResult&gt;<br> &lt;Code&gt;1&lt;/Code&gt;<br> &lt;Name&gt;T&lt;/Name&gt;<br> &lt;/FormCheckResult&gt;<br> &lt;FormCheckResult&gt;<br> &lt;Code&gt;1&lt;/Code&gt;<br> &lt;Name&gt;B&lt;/Name&gt;<br> &lt;/FormCheckResult&gt;<br> &lt;ExtendedCertificateCheck&gt;<br> &lt;Major&gt;<br> &lt;Code&gt;2&lt;/Code&gt;<br> Name&gt;INDETERMINATE&lt;/Name&gt;<br> &lt;/Major&gt;<br> &lt;Minor&gt;<br> &lt;Code&gt;13&lt;/Code&gt;<br> &lt;Name/&gt;<br> &lt;/Minor&gt;<br> &lt;/ExtendedCertificateCheck&gt;
&lt;/VerifyXMLSignatureResponse&gt;
</pre>
-<p>Die Elemente <code>SignatureCheck</code> und <code>CertificateCheck</code> enthalten die Resultate der kryptographischen Pr&uuml;fung der Signatur sowie der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
+<p>Die Elemente <code>SignatureCheck</code> und <code>CertificateCheck</code> enthalten die Resultate der kryptographischen Pr&uuml;fung der Signatur sowie der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>). Die Elemente <code>FormCheckResult</code> enthalten die Ergebnisse zu den einzelnen Formvalidierungen und das Element <code>ExtendedCertificateCheck</code> enthalten die Ergebnisse zum erweiterten Zertifikatscheck.</p>
<h4><a name="webservice_xmlrequests_pruefungxml_xmldsigmanifest"></a>2.1.4.3 Pr&uuml;fung eines XMLDSIG-Manifests </h4>
<h5>Request</h5>
<p>Dieses Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.XMLDSigManifest.xml" target="_blank"><code>VerifyXMLSignatureRequest.XMLDSigManifest.xml</code></a>) demonstriert die Pr&uuml;fung eines in der XML-Signatur vorhandenden <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-Manifest" target="_blank">Manifests nach XMLDSig</a>. Bitte beachten Sie, dass der dargestellte Request zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>