From c68c997d47518d986768c2c6f0700c1511cd83e8 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Tue, 14 Feb 2017 12:31:14 +0100 Subject: update handbook --- moaSig/handbook/handbook/config/config.html | 76 +++++++++++++++++++++++------ moaSig/handbook/handbook/usage/usage.html | 8 +-- 2 files changed, 66 insertions(+), 18 deletions(-) diff --git a/moaSig/handbook/handbook/config/config.html b/moaSig/handbook/handbook/config/config.html index 3ef04f9..416d38a 100644 --- a/moaSig/handbook/handbook/config/config.html +++ b/moaSig/handbook/handbook/config/config.html @@ -143,7 +143,7 @@

1.2 Zentrale Konfigurationsdatei

-

Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema MOA-SPSS-config-2.0.0.xsd entsprechen. Abschnitt 2 erläutert die Konfigurationsmöglichkeiten im Einzelnen.

+

Die Konfiguration von MOA SP/SS erfolgt zentral über eine einzige Konfigurationsdatei. Das Format der Konfigurationsdatei ist XML und muss dem Schema MOA-SPSS-config-3.0.0.xsd entsprechen. Abschnitt 2 erläutert die Konfigurationsmöglichkeiten im Einzelnen.

1.2.1 Aktualisierung auf das Format von MOA SP/SS 1.3

Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, übersichtlicheres Format für die @@ -621,9 +621,39 @@ http://www.w3.org/2000/09/xmldsig#sha256
http://www.w3.org/2000/09/xmldsig#sh Parameter für MOA SP

2.3.1 Zertifikatsvalidierung

+ + + + + + + + + + + + + +
Name cfg:SignatureVerification/cfg:CertificateValidation/cfg:ConnectionTimeout
GebrauchNull mal bis einmal
Erläuterung

Der Inhalt dieses Elements vom Typ xs:string gibt an, welcher Timeout in Sekunden bei URL Verbindungsaufbau gesetzt wird.

+

Zulässige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)

+ + + + + + + + + + + + + +
Name cfg:SignatureVerification/cfg:CertificateValidation/cfg:ReadTimeout
GebrauchNull mal bis einmal
Erläuterung

Der Inhalt dieses Elements vom Typ xs:string gibt an, welcher Timeout in Sekunden beim Empfangen von Daten über eine URL gesetzt wird.

+

Zulässige Werte sind beliebige positive Zahlen. (Defaultwert: 30 Sekunden)

2.3.1.1 - Konstruktion des Zertifikatspfads

-
2.3.1.1.1 Cachen von Zertifikaten
+ +
2.3.1.1.1 Cachen von Zertifikaten
@@ -762,7 +792,7 @@ als relativ zum Pfad jenes Verzeichnisses interpretiert werden, in dem die zentr

In MOA SP können beliebig viele solcher Vertrauensprofile konfiguriert werden. Der Kunde von MOA SP gibt im Request zur Signaturprüfung an, gegen welches Vertrauensprofil MOA SP die Zertifikatsprüfung vornehmen soll.

-

Das Element cfg:TrustProfile weist folgende Kindelemente +

Das Element cfg:TrustProfile weist folgende Kindelemente auf:

+
  • Element cfg:EUTSL: Dieses optionale Element aktiviert bei Vorhandensein die EU-TSL Unterstützung für dieses Vertrauensprofile. D.h. als Vertrauensanker werden jene CA-Zertifikate herangezogen, die zum gegenwärtigen Zeitpunkt auf der EU-TSL bzw. den entsprechenden TSLs der Mitgliedsstaaten stehen und den Anforderungen der nachstehenden Kind-Elemente entsprechen. Des Weiteren werden bei TSL-aktivierten Vertrauensprofilen, die Überprüfung auf qualifiziertes Zertifikat (QC-Überprüfung) und die Überprüfung auf sichere Signaturerstellungseinheit (SSCD-Überprüfung) über die EU-TSL durchgeführt.
    + Zusätzliche können optionale Kind-Element + angegeben werden: + +
  • + +

    Wichtig: Es können zusätzlich manuelle Vertrauensanker via cfg:TrustAnchorsLocation konfiguriert werden. Hierbei ist jedoch, insbesondere beim Hinzufügen von Enduser-Zertifikaten als Vertrauensanker, zu beachten, dass eine QC- bzw. SSCD-Überprüfung gegebenenfalls nicht erfolgreich durchgeführt werden kann.
    + Wichtig: Bei aktivierter TSL-Unterstützung muss einen entsprechende TSL Konfiguration angegeben werden (siehe TSL Konfiguration).

    Name

    2.3.1.3 @@ -1083,10 +1123,18 @@ Wird der Wert auf -1 gesetzt, dann bedeutet das ein unendlich langes Intervall. Hinweis: Der Import der Zertifikate von der EU-TSL benötigt (je nach Verbindung) ca. 90-180 Sekunden. Als Startzeit sollte daher eine Zeit gewählt werden, zu der die Auslastung gering ist.
  • Element cfg:WorkingDirectory: Diese Element gibt einen Pfad zum Arbeitsverzeichnis (inkl. Lese- und Schreibrechte) für die TSL an. Enthält dieses Element eine relative Pfadangabe, so wird dieser relativ zum Verzeichnis in dem sich die MOA-SPSS Konfigurationsdatei befindet interpretiert.
  • - Hinweis: Wird kein cfg:WorkingDirectory Element angegeben so wird defaultmäßig tslworking als Arbeitsverzeichnis herangezogen.
    - - Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis - "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist. +

    Hinweis: Wird kein cfg:WorkingDirectory Element angegeben so wird defaultmäßig tslworking als Arbeitsverzeichnis herangezogen.

    +
  • Element cfg:Evaluation: Diese Element hat zwei Kind Elemente +
      +
    • Element cfg:QCQualifier: Diese Element gibt eine Komma-sparierte Liste an ServiceType Qualifiern an welche als QC interpretiert werden und das entsprechende QC Flag in der MOA-SP Response setzen
    • +
    • Element cfg:SSCDQualifiern: Diese Element gibt eine Komma-sparierte Liste an Additional-Qualifiern Extentsions an welche als SSCD interpretiert werden und das entsprechende SSCD Flag in der MOA-SP Response setzen
      +
      + + Wichtig: Das angegebene Verzeichnis muss jedenfalls die Unterverzeichnis + "trust" aus der Beispiel-Konfiguration beinhalten. In dessen Unterverzeichnis "eu" müssen jene vertrauenswürdigen Zertifikate angegeben werden, mit denen die EU-TSL signiert ist. +
    • +
    +
  • Hinweis: Um die TSL Überprüfung zu aktivieren muss auch (zumindest) ein Vertrauensprofil mit TSL Überprüfung konfiguriert werden (siehe Vertrauensprofil)

    diff --git a/moaSig/handbook/handbook/usage/usage.html b/moaSig/handbook/handbook/usage/usage.html index d36fb13..ef370d4 100644 --- a/moaSig/handbook/handbook/usage/usage.html +++ b/moaSig/handbook/handbook/usage/usage.html @@ -817,9 +817,8 @@ O=A-Trust Ges. für Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT<

    Dieses erweiterte Beispiel zur Prüfung einer XML-Signatur (VerifyXMLSignatureRequest.Enveloped.xml) demonstriert die Prüfung einer Enveloped Signature, d. h. einer Signatur, die in ein XML-Dokument integriert ist, die Angabe des Prüfzeitpunkts sowie die Anweisung an MOA SP, in der Response die von der Signatur abgedeckten Daten zu retournieren.

     <VerifyXMLSignatureRequest xmlns="http://reference.e-government.gv.at/namespace/moa/20020822#">
    -  <DateTime>2004-08-18T17:00:00+02:00</DateTime>
    -
    -

    Mit dem optionalen Element DateTime kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp dateTime. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird DateTime nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs SigningTime). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft.

    + <DateTime>2004-08-18T17:00:00+02:00</DateTime>
    <ExtendedValidation>true</ExtendedValidation> +

    Mit dem optionalen Element DateTime kann der Zeitpunkt der Signaturprüfung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp dateTime. Enthält der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP läuft. Wird DateTime nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs SigningTime). Enthält die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es läuft. Das optionale Element ExtendedValidation kann dafür genutzt werden den Formvalidierungsmodus für XAdES Signaturen zu aktivieren. Diesem Fall enthält die Response spezifische Informationen bezüglich des XAdES Profils der Signatur und erweiterte Zertifikatsprüfungsergebnisse.

       <VerifySignatureInfo>
         <VerifySignatureEnvironment Reference="http://localhost:8080/referencedData/XMLDocument.signed.xml"/>
    @@ -877,9 +876,10 @@ positive Ganzzahl repräsentiert, die auf das beinhaltende dsig:Manife
       <CertificateCheck>
         <Code>0</Code>
       </CertificateCheck>
    +	<FormCheckResult>
    <Code>1</Code>
    <Name>LTA</Name>
    </FormCheckResult>
    <FormCheckResult>
    <Code>1</Code>
    <Name>LT</Name>
    </FormCheckResult>
    <FormCheckResult>
    <Code>1</Code>
    <Name>T</Name>
    </FormCheckResult>
    <FormCheckResult>
    <Code>1</Code>
    <Name>B</Name>
    </FormCheckResult>
    <ExtendedCertificateCheck>
    <Major>
    <Code>2</Code>
    Name>INDETERMINATE</Name>
    </Major>
    <Minor>
    <Code>13</Code>
    <Name/>
    </Minor>
    </ExtendedCertificateCheck> </VerifyXMLSignatureResponse>
    -

    Die Elemente SignatureCheck und CertificateCheck enthalten die Resultate der kryptographischen Prüfung der Signatur sowie der Zertifikatsprüfung (siehe Einfaches Beispiel).

    +

    Die Elemente SignatureCheck und CertificateCheck enthalten die Resultate der kryptographischen Prüfung der Signatur sowie der Zertifikatsprüfung (siehe Einfaches Beispiel). Die Elemente FormCheckResult enthalten die Ergebnisse zu den einzelnen Formvalidierungen und das Element ExtendedCertificateCheck enthalten die Ergebnisse zum erweiterten Zertifikatscheck.

    2.1.4.3 Prüfung eines XMLDSIG-Manifests

    Request

    Dieses Beispiel zur Prüfung einer XML-Signatur (VerifyXMLSignatureRequest.XMLDSigManifest.xml) demonstriert die Prüfung eines in der XML-Signatur vorhandenden Manifests nach XMLDSig. Bitte beachten Sie, dass der dargestellte Request zur bessernen Lesbarkeit eingerückt und gekürzt wurde.

    -- cgit v1.2.3