Konfiguration
Das Zertifikat Status Tool wurde für eine Reihe von Diensten vorkonfiguriert. Sie können die konfigurierten Dienste unter dem Menüpunkt "Konfiguration" im Hauptmenü einsehen bzw. bearbeiten.
Die einzelnen Menüeinträge werden im Folgenden beschrieben:
- "Online Update": es werden automatisch die aktuelle Konfigurationsdatei und die benötigten CA-Zertifikate vom Server geladen und im Tool installiert.
- "Version Anzeigen": es wird die Version der aktuellen Konfigurationsdatei angezeigt.
- "LDAP Dienste anzeigen": es werden alle konfigurierten LDAP Dienste angezeigt.
- "Prüfdienste anzeigen": es werden alle konfigurierten Prüfdienste (CRLs und OCSP) angezeigt.
- "CRL-Dienste anzeigen": es werden alle konfigurierten Prüfdienste, welche über eine CRL verfügen, angezeigt. Diese Dienste werden bei der Prüfung der Seriennummer eines Zertifikates berücksichtigt.
- "Konfigurationsdatei bearbeiten": die lokale Konfigurationsdatei wird im Editor geöffnet und kann bearbeitet werden. Nach dem Beenden des Editors wird die Konfiguration automatisch geladen.
Konfigurationsdateien
Die Konfiguration besteht aus einer lokalen Konfigurationsdatei, welche über den Menüpunkt "Konfigurationsdatei bearbeiten" geändert werden kann und aus einer Remote-Konfigurationsdatei, welche die vorkonfigurierten Einträge enthält. Die Remote-Konfigurationsdatei wird beim Online-Update vom Server geladen und lokal als Kopie abgespeichert.
Format der Konfigurationsdateien
Die Konfigurationsdatei ist eine Textdatei, welche Schlüssel - Werte Paare enthält, welche durch ein "=" Zeichen voneinander getrennt sind. Das Zeichen "#" wird als Kommentarzeichen eingesetzt.
Im folgenden werden die einzelnen
Konfigurationseinträge erläutert:
Pfad und Name der Konfigurationsdatei
RemoteConfigurationURL = http://www.a-sit.at/Konfigurationsdateien/CST/ RemoteConfigurationFile = defaultConfig.txt
Diese Einträge bezeichnen zusammen
den URL unter welchem die Konfigurationsdatei für die Online-Update Funktion
zu laden ist.
Ändern Sie diesen Eintrag nur dann, wenn Sie unter der neu angegebenen
URL auch tatsächlich eine gültige Konfigurationsdatei abgelegt haben,
welche alle gewünschten Vor-Konfigurationen enthält. Beide Einträge
müssen enthalten sein. Die Konfigurationsdatei wird lokal immer unter dem
Dateinamen "defaultConfig.txt" abgelegt.
Einstufung qualifizierter Zertifikate
IQCStatementIOD.<unique_Idenfifier> = [OID] QCPolicyOID.<unique_Idenfifier> = [OID]
Durch solche Einträge können Object Identifier für qualifizierte Zertifkate konfiguriert werden, wobei <unique_ID> ein dateiweit eindeutiger Bezeichner ist. Enthält ein X509 Zertifkat einen oder mehrere dieser Object Identifier so wird es als qualifiziertes Zertifikat eingestuft.
Konfiguration von Diensten
Ein Dienst besteht einerseits aus seiner Deklaration in der Form
Service.<unique_ID> = [Zeichenkette]
wobei <unique_ID> ein dateiweit eindeutiger Bezeichner ist. Verwenden Sie bitte keine Bezeichner, die mit der Zeichenkette "preconf." beginnen, da diese für die vorkonfigurierten Dienste verwendet werden. Als Wert geben Sie bitte einen benutzer-lesbaren Namen für den betreffenden Dienst an ("Friendly-Name"). Dieser Name wird im Programm dann verwendet, um den entsprechenden Dienst zu bezeichnen (z.B. "A1-Signatur"). Bitte beachten Sie, dass der Name nicht mit der Zeichenkette "Service" beginnen und keinen Punkt enthalten darf.
Weiters besteht ein Dienst aus seiner
Definition, welche Elemente enthält, die folgendermaßen aufgebaut
sind:
<friendly-Name>.issuerCertFileName = [Dateiname]
hier wird der Dateiname des CA-Zertifikates
des betreffenden Dienstes angegeben. Der Pfad muss relativ zum Verzeichnis "certificates"
im Programmverzeichnis sein.
<friendly-Name>.ldapUrl = [URL]
optional, hier wird der URL des LDAP-Services
angegeben. Er muss mit ldap:// beginnen. Wird kein LDAP-Url angegeben, so wird
dieser Dienst nicht in der Suche berücksichtigt.
<friendly-Name>.cnSearchPrefix = [Zeichenkette]
hier wird die Bezeichnung des LDAP-Feldes,
welches den Namen der zu suchenden Person enthält eingegeben, gefolgt von
dem Zeichen "=". In den meisten Fällen wird hier "cn="
angegeben.
<friendly-Name>.cnSearchPostfix = [Zeichenkette]
optional. Hier wird ggf. eine Zeichenkette
angegeben, die an den Suchstring angefügt werden soll, wenn nach dem Namen
der zu suchenden Person gesucht wird. Beispiel: würde hier "Meier"
angegeben, so würde eine Suche nach dem Namen "Max Mustermann"
der LDAP-Suchfilter "cn=MaxMustermannMeier" generiert. In den meisten
Fällen wird hier nichts angegeben. Im Fall der E-Card Verwaltungsignatur
wird in diesem Feld beispielsweise ":SER*" angegeben, da im Namensfeld
zusätzlich die Zeichenkette "SER:" und die Zertifikatsseriennummer
kodiert sind.
<friendly-Name>.snSearchPrefix = [Zeichenkette]
hier wird die Bezeichnung des LDAP-Feldes,
welches die Seriennummer des zu suchenden Zertifikates enthält eingegeben,
gefolgt von dem Zeichen "=". In den vielen Fällen wird hier "serialNumber="
oder "serial=" angegeben.
<friendly-Name>.snSearchPostfix =
optional. Hier wird ggf. eine Zeichenkette
angegeben, die an den Suchstring
angefügt werden soll, wenn nach der Seriennummer des zu suchenden Zertifikates
gesucht
wird, vgl. cnSearchPostfix.
<friendly-Name>.crlUrl = [URL]
optional, hier wird der URL angegeben,
unter welchem die aktuelle Widerrufsliste bezogen werden kann. Er muss mit ldap://
oder http:// beginnen. Wird kein CRL-Url angegeben, so wird dieser Dienst nicht
bei der Prüfung von Zertifikatsseriennummern berücksichtigt.
<friendly-Name>.ocspUrl = [URL]
optional, hier wird der URL des OCSP
Services angegeben, unter welchem der aktuelle Status von Zertifikaten abgefragt
werden kann. Der URL muss mit ocsp:// beginnen.
<friendly-Name>.additionalInfo = [Zeichenkette]
optional. Hier kann eine Beschreibung
des Services angegeben werden, wie z.B. (E-Card Verwaltungssignatur-Zertifikat)
<friendly-Name>.completeCRL = YES | [beliebige Zeichenkette]
optional. Wird dieser Eintrag auf "YES" gesetzt, so nimmt das Zertifikat Status Tool an, dass die Widerrufsdienste auch die Widerrufsinformationen bereits abgelaufener Zertifikate enthalten. Andernfalls wird bei der Prüfung von abgelaufenen Zertifikaten ein Hinweis angezeigt, dass nicht gewährleistet ist, dass die Widerrufsinformation noch in dem entsprechenden Widerrufsservice enthalten ist.
Hinweise:
Werden sowohl ein OCSP- als auch
ein CRL-URL angegeben, so wird das OCSP-Service bei der Zertifikatsstatusabfrage
benutzt.
Wird weder ein OCSP noch ein CRL Url angegeben, so wird eine entsprechende Fehlermeldung
bei der Statusabfrage angezeigt.
Die obige Beschreibung gilt sowohl für die lokale Konfigurationsdatei, welche über den Menüpunkt "Konfiguration" -> "Konfigurationsdatei bearbeiten" geändert werden kann, als auch für die Remote-Konfigurationsdatei, welche die vorkonfigurierten Einträge enthält.
Vorkonfigurierte Einträge ändern
Bitte beachten Sie, dass die lokale Konfigurationdatei Vorrang gegenüber der Remote-Konfigurationsdatei hat. Vorkonfigurierte Einträge könnten daher "überschrieben" werden, indem in der lokalen Konfigurationsdatei ein Schlüssel - Wertepaar mit demselben Schlüssel eingetragen wird, d.h. ein Eintrag
a-sign-Premium-Sig-02.ldapUrl = ...
in der lokalen Konfigurationsdatei überschreibt den LDAP-Url des Dienstes a-sign-Premium-Sig-02 in der Remote-Konfiguration.
Im Programmverzeichnis sind weiters Kopien der beiden Konfigurationsdateien abgelegt, um im Fall einer unabsichtlichen Zerstörung/Löschung dieser Dateien den Auslieferungszustand wiederherstellen zu können.