diff options
Diffstat (limited to 'release-infos/handbook/handbook/config/config.html')
-rw-r--r-- | release-infos/handbook/handbook/config/config.html | 104 |
1 files changed, 67 insertions, 37 deletions
diff --git a/release-infos/handbook/handbook/config/config.html b/release-infos/handbook/handbook/config/config.html index 3457aa3..0d718ed 100644 --- a/release-infos/handbook/handbook/config/config.html +++ b/release-infos/handbook/handbook/config/config.html @@ -5,7 +5,7 @@ <title>MOA SS und SP - Konfiguration</title> <link rel="stylesheet" href="../common/MOA.css" type="text/css"> </head> -<body link="#990000"> +<body link="#990000"> <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> <tr> <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> @@ -13,9 +13,9 @@ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> </tr> </table> - <hr/> - <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP)</a></p> - <p class="subtitle">Konfiguration</p> + <hr/> + <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturprüfung (SP)</a></p> + <p class="subtitle">Konfiguration</p> <hr/> <h1>Inhalt</h1> <ol> @@ -90,8 +90,8 @@ <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_maxrevocationage">Maximales Alter der Widerrufsinformation</a></li> <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_serviceorder">Reihenfolge der Widerrufsdienste</a></li> <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_archiving">Archivierung von Widerrufsinformationen</a></li> - <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint">Manuelle - Konfiguration von Verteilungspunkten für Widerrufsinformationen</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_revocationchecking_distributionpoint">Manuelle Konfiguration von Verteilungspunkten für Widerrufsinformationen</a></li> + <li><a href="#konfigurationsparameter_sp_certificatevalidation_shortterm_certificates">Validierung von short-term Zertifikaten</a></li> <li><a href="#konfigurationsparameter_sp_certificatevalidation_tslconfiguration">TSL Konfiguration</a></li> </ol> </li> @@ -143,7 +143,7 @@ </tr> </table> <h2><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>1.2 Zentrale Konfigurationsdatei</h2> - <p>Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-3.0.0.xsd">MOA-SPSS-config-3.0.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erläutert die Konfigurationsmöglichkeiten im Einzelnen.</p> + <p>Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema <a href="./MOA-SPSS-config-3.2.0.xsd">MOA-SPSS-config-3.2.0.xsd</a> entsprechen. <a href="#konfigurationsparameter">Abschnitt 2</a> erläutert die Konfigurationsmöglichkeiten im Einzelnen.</p> <h3><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>1.2.1 Aktualisierung auf das Format von MOA SP/SS 1.3</h3> <p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die @@ -160,7 +160,7 @@ Pfade.</span>). </p> <h2><a name="uebersicht_bekanntmachung" id="uebersicht_bekanntmachung"></a>1.3 Bekanntmachung der Konfigurationsdatei</h2> <p>Die zentrale Konfigurationsdatei von MOA SP/SS wird der <span class="term">Java Virtual Machine</span>, in der MOA SP/SS läuft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D<name>=<wert></code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.spss.server.configuration</code>; als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p> - <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml + <pre>moa.spss.server.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-spss/moa-spss.config.xml </pre> <p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA SP/SS erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p> <h3><a name="uebersicht_bekanntmachung_laufenderbetrieb" id="uebersicht_bekanntmachung_laufenderbetrieb"></a>1.3.1 @@ -215,7 +215,7 @@ </ul></td> </tr> </table> - + <h3><a name="konfigurationsparameter_allgemein_externaluris" id="konfigurationsparameter_allgemein_externaluris"></a>2.1.2 Auflösen externer URIs</h3> <p>Standardmäßig ist das Auflösen von externen URIs (inkl. localhost) deaktiviert (d.h. keines der nachfolgenden Konfigurationselement <code>cfg:PermitExternalUris</code> bzw. <code>cfg:ForbidExternalUris</code> existiert). Es gibt jedoch zwei Möglichkeiten das Auflösen zu aktivieren: </p> <ul> @@ -243,7 +243,7 @@ <li>Element <code>cfg:Port</code>: Dieses optionale Element vom Typ <code>xs:int</code> legt eine bestimmte Portnummer fest. Ist eine Portnummer angegeben werden alle URIs mit obiger IP-Adresse und dieser Portnummer nicht aufgelöst. Ist keine Portnummer angegeben, sind alle Portnummern gesperrt.</li> </ul> </ul> - + <p><b>Empfehlung:</b> Bei aktiviertem Auflösen von externen URIs sollten sowohl <em>localhost</em> als auch der <em>gesamte Intranetbereich</em> in die Blacklist eingetragen werden. Hierzu eine beispielhafte Blacklist: </p> <p><code><cfg:BlackListUri><br> <cfg:IP>192.168</cfg:IP><br> @@ -253,7 +253,7 @@ </cfg:BlackListUri></code></p></td> </tr> </table> - + <h4><a name="konfigurationsparameter_allgemein_externaluris_whitelisting" id="konfigurationsparameter_allgemein_externaluris_whitelisting"></a>2.1.2.2 Whitelisting</h4> <table class="fixedWidth" border="1" cellpadding="2"> <tr> @@ -416,7 +416,7 @@ an Hand der Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> aufgelistet. Vergleichen Sie den folgenden beispielhaften Auszug:<br> <pre>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde1;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;7 -INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key +INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key ID=SKM_allgemein;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;9<br>INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <br> ID=SKM_Kunde2;CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT;8</pre> Der Wert der Eigenschaft <code>ID</code> des Logging-Eintrags gliedert sich in drei Teile: <ol> @@ -441,10 +441,10 @@ INFO | 15 15:10:14,737 | moa.spss.server | TID=startup NID=node1 MSG=Key <pre>certtool -info <certfilename></pre> <p><code><certfilename></code> enthält den Namen der DER-kodierten Zertifikatsdatei, für die die beiden Werte <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code> geliefert werden sollen. Eine beispielhafte Ausgabe des Scripts sieht wie folgt aus: </p> - <pre>SubjectDN (RFC2253): + <pre>SubjectDN (RFC2253): CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,O=Stabsstelle IKT-Strategie des Bundes,C=AT -IssuerDN (RFC2253) : - CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : +IssuerDN (RFC2253) : + CN=Test CA - Signaturdienste,OU=Technik und Standards,O=Stabstelle IKT-Strategie des Bundes,C=AT<br>Serial Number : 9</pre> <p>Die Werte für <code>IssuerDN (RFC2253)</code> sowie <code>Serial Number</code> entsprechen den Werten für <code>dsig:X509IssuerName</code> und <code>dsig:X509SerialNumber</code>.</p></td> </tr> @@ -519,11 +519,11 @@ IssuerDN (RFC2253) : </p> <pre>http://www.w3.org/2000/09/xmldsig#sha1 http://www.w3.org/2000/09/xmldsig#sha256<br>http://www.w3.org/2000/09/xmldsig#sha384<br>http://www.w3.org/2000/09/xmldsig#sha512 </pre> - Wird das Element nicht angegeben, wird - abhängig von der konfigurierten XAdES-Version (siehe <a href="#konfigurationsparameter_ss_xades">XAdES-Version</a>)- folgender Wert als Default-Wert verwendet: + Wird das Element nicht angegeben, wird - abhängig von der konfigurierten XAdES-Version (siehe <a href="#konfigurationsparameter_ss_xades">XAdES-Version</a>)- folgender Wert als Default-Wert verwendet: <p>Für XAdES Version 1.1.1:</p> - <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> + <pre>http://www.w3.org/2000/09/xmldsig#sha1</pre> <p>Für XAdES Version 1.4.2:</p> -<pre>http://www.w3.org/2000/09/xmldsig#sha256</pre> +<pre>http://www.w3.org/2000/09/xmldsig#sha256</pre> <p>Für die genaue Bedeutung der Werte siehe die <a href="http://www.w3.org/TR/xmldsig-core/" target="_blank">Spezifikation für XML-Signaturen</a>.</p></td> </tr> </table> @@ -765,7 +765,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr oder <code>pkix</code> (Schalenmodell). </li> <li><code>cfg:TrustAnchor</code>: Dieses Element kann beliebig oft (auch gar nicht) verwendet werden, um für bestimmte Vertrauensanker (vergleiche nächsten Parameter <code>cfg:TrustProfile</code>) - Ausnahmen vom Default-Modell vorzugeben. + Ausnahmen vom Default-Modell vorzugeben. Das Element weist folgende Kindelemente auf: <ul> <li><code>cfg:Identification</code>: Dieses obligatorische Element identifiziert den Vertrauensanker, @@ -834,8 +834,8 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr Verzeichnis muss eine oder mehrere DER-kodierte Zertifikatsdateien beinhalten. Jede Zertifikatsdatei repräsentiert ein explizit erlaubtes Signatorzertifikat. </li> <li>Element <code>cfg:EUTSL</code>: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstützung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten stehen und den Anforderungen der nachstehenden Kind-Elemente entsprechen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt. <br> - Zusätzliche können optionale Kind-Element - angegeben werden: + Zusätzliche können optionale Kind-Element + angegeben werden: <ul> <li><code>cfg:CountrySelection</code> Dieses Element definiert eine komma-separierte Liste an zweistelligen Länderkürzeln nach ISO 3166. Ist so eine Liste vorhanden, werden nur die Vertrauensanker der angegebenen Länder herangezogen. <strong><br> Defaultwert</strong>: alle Länder</li> @@ -950,7 +950,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr unten) angegeben werden. Zulässige Werte für diesen Parameter sind <code>true</code> oder <code>false</code>.</p> </td> </tr> </table> - + <table class="fixedWidth" border="1" cellpadding="2"> <tr> <td>Name</td> @@ -1009,7 +1009,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr qualifizierten Java-Klassennamen des JDBC-Treibers an, der von MOA SP zur Ansprache der für die CRL-Archivierung zu verwendenden Datenbank benützt werden soll.</p> <p class="remark">Bitte beachten Sie: Informationen zum Anlegen einer Datenbank in postgreSQL finden Sie in <a href="../install/install.html#webservice_erweiterungsmöglichkeiten_datenbank_postgresql">Abschnitt - 2.2.2.1</a> des Installationshandbuchs.</p> + 2.2.2.1</a> des Installationshandbuchs.</p> </li> </ul> </li> @@ -1061,14 +1061,14 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr </li> <li>Element <code>cfg:OCSPDP</code>: Dieses Element verweist auf einen Verteilungspunkt, an dem die Widerrufsinformation von einem OCSP-Responder bezogen werden kann. Es weist folgendes Kind-Element - auf: + auf: <ul> <li></li> </ul> Element<code> cfg:Location</code>: Der Wert dieses obligatorischen Elements vom Typ<code> xs:anyURI</code> enthält die URL für den zu konfigurierenden Verteilungspunkt. Es werden die Protokolle HTTP, HTTPS und LDAP unterstützt.</li> - </ul> + </ul> <p>Hinweis: Die Elemente <code>cfg:CRLDP</code> bzw. <code>cfg:OSCPDP</code> können beliebig oft als Kinder von <code>cfg:CRLDistributionPoint</code> angegeben werden. Die Reihenfolge spielt dabei keine Rolle. Jedenfalls muss aber eines dieser beiden Elemente angegeben werden. </p></td> @@ -1088,26 +1088,26 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr </tr> <tr> <td>Erläuterung</td> - <td><p>Das Element <code>cfg:</code><code>CrlRetentionIntervals</code> kann - dazu verwendet werden, um Retention Intervalle für bestimmte CAs zu + <td><p>Das Element <code>cfg:</code><code>CrlRetentionIntervals</code> kann + dazu verwendet werden, um Retention Intervalle für bestimmte CAs zu konfigurieren. <br /> - Gemäß <a href="http://www.ietf.org/rfc/rfc5280.txt" target="_blank">RFC 5280</a> - muss ein widerrufenes Zertifikat solange auf Widerrufslisten - aufscheinen, bis das Zertifikat abgelaufen ist und noch eine CRL-Periode + Gemäß <a href="http://www.ietf.org/rfc/rfc5280.txt" target="_blank">RFC 5280</a> + muss ein widerrufenes Zertifikat solange auf Widerrufslisten + aufscheinen, bis das Zertifikat abgelaufen ist und noch eine CRL-Periode darüber hinaus. Auf allen weiteren CRLs muss das Zertifikat nicht mehr - geführt werden. Daraus folgt, dass MOA SP für abgelaufene Zertifikate in - der Regel keine CRL-Statusabfrage durchführen kann, da nicht sichergestellt - ist, dass eine aktuell geladene Widerrufssliste für derartige + geführt werden. Daraus folgt, dass MOA SP für abgelaufene Zertifikate in + der Regel keine CRL-Statusabfrage durchführen kann, da nicht sichergestellt + ist, dass eine aktuell geladene Widerrufssliste für derartige Zertifikate noch adeqaute Widerrufsinformationen enthält. <br /> - Garantiert eine CA jedoch, dass widerrufene Zertifikate noch über deren - Ablauf hinaus auf der Widerrufsliste geführt werden, so kann für diese + Garantiert eine CA jedoch, dass widerrufene Zertifikate noch über deren + Ablauf hinaus auf der Widerrufsliste geführt werden, so kann für diese CA ein Retention Intervall definiert werden. <p /> Das <code>cfg:</code><code>CrlRetentionIntervals</code> Element weist folgendes Kind-Element auf:</p> <ul> <li>Element <code>cfg:CA</code>: Dieses Element legt ein Retention Intervall für eine CA fest und kann beliebig oft vorkommen. Es weist folgende Kind-Elemente auf:</li> <ul> <li>Element <code>cfg:X509IssuerName</code>: Dieses Element vom Typ <code>xs:string</code> muss einmal vorkommen und definiert die entsprechende CA über einen RFC2253 String. Das (im folgenden Element) festgelegte Intervall wird für alle Widerrufslisten, die von dieser CA ausgestellt werden, verwendet.</li></li> -<li>Element <code>cfg:Interval</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enthält das Retention Intervall. Es gibt den Zeitraum in Tagen an, über +<li>Element <code>cfg:Interval</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enthält das Retention Intervall. Es gibt den Zeitraum in Tagen an, über den widerrufene Zertifikate über deren Ablauf hinaus auf Widerrufslisten geführt werden. Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. In diesem Fall wird ein widerrufenes Zertifikat niemals von den Widerrufslisten entfernt.<br /> </ul> @@ -1116,6 +1116,36 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. </tr> </table> + <h5><a name="konfigurationsparameter_sp_certificatevalidation_shortterm_certificates" id="konfigurationsparameter_sp_certificatevalidation_shortterm_certificates"></a>2.3.1.3.7 Validierung von Short-Term Zertifikaten </h5> + <table class="fixedWidth" border="1" cellpadding="2"> + <tr> + <td>Name</td> + <td><code>cfg:SignatureVerification/cfg:CertificateValidation/cfg:RevocationChecking/cfg:ShortTermedCertificates</code></td> + </tr> + <tr> + <td>Gebrauch</td> + <td>Null oder einmal </td> + </tr> + <tr> + <td>Erläuterung</td> + <td><p>Das Element <code>cfg:</code><code>ShortTermedCertificates</code> kann + dazu verwendet werden, um die Validierung von short-term Zertifikaten zu konfigurieren. <br /> + <br> + Das <code>cfg:</code><code>ShortTermedCertificates</code> Element weist folgendes Kind-Element auf:</p> + <ul> + <li>Element <code>cfg:CA</code>: Dieses Element legt ein Gültigkeitsintervall für eine CA fest und kann beliebig oft vorkommen. Es weist folgende Kind-Elemente auf:</li> + <ul> + <li>Element <code>cfg:X509IssuerName</code>: Dieses Element vom Typ <code>xs:string</code> muss einmal vorkommen und definiert die entsprechende CA über einen RFC2253 String. Die (im folgenden Element) festgelegte ValidityPeriod wird für alle Widerrufsprfüfungen, ffür Zertifikate die von dieser CA ausgestellt wurden, verwendet.</li></li> + <li>Element <code>cfg:ValidityPeriod</code>: Dieses Element vom Typ <code>xs:integer</code> muss einmal vorkommen und enthält das Gültigkeitsintervall in Minuten für welches keine Widerrufsprüfung durchgeführt wird. Ist der Zertifikatsgültigkeitszeitraum länger als der hier eingestellt Wert wird eine reguläre Widerrufsprüfung durchgeführt. Wird der Wert auf 0 gesetzt, wird die short-term Eigenschaft für diese CA ignoriert.<br /> + </ul> + <li>Attribut <code>cfg:defaultValidityPeriod</code>: Dieses Attribut definiert eine Default ValidityPeriod (siehe Element <code>cfg:ValidityPeriod</code>) für alle CA Zertifikate. Ist dieses Attribut nicht gesetzt wird der Defaultwert 0 verwendet wodurch die spezielle Behandlung von short-term Zertifikaten, sofern nicht spezifisch konfiguriert, deaktiviert ist.</li> + <li>Attribut <code>cfg:checkETSIValidityAssuredExtension</code>: Dieses Attribut aktiviert/deaktiviert (<code>true/false</code>) die Auswertung der X509 Extension "ETSI EN 319 412-1 - Validity Assured - Short Term" zur Prüfung von short-term Zertifikaten. Ist dieses Attribut nicht gesetzt wird der Defaultwert <code>true</code> verwendet.</li> + </ul> + </td> + </tr> + </table> + + <h5><a name="konfigurationsparameter_sp_certificatevalidation_tslconfiguration" id="konfigurationsparameter_sp_certificatevalidation_tslconfiguration"></a>2.3.1.3.7 TSL Konfiguration</h5> @@ -1160,7 +1190,7 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. </ul> <p><em>Hinweis</em>: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe <a href="#konfigurationsparameter_sp_certificatevalidation_pathvalidation_trustprofile">Vertrauensprofil</a>)</p></td> </tr> - + </table> <h3><a name="konfigurationsparameter_sp_verifytransformsinfoprofile" id="konfigurationsparameter_sp_verifytransformsinfoprofile"></a>2.3.2 Profil für Transformationen</h3> <table class="fixedWidth" border="1" cellpadding="2"> |