Sie sind auf Seite 1von 94
Benutzer- und Administrationshandbuch A uthentiDate SLM Base Component V3.0

Benutzer- und Administrationshandbuch

AuthentiDate SLM Base Component V3.0

AuthentiDate SLM Base Component

V3.0

Produktversion

3.0

Dokumentversion

1.2.12

Erstellungsdatum

09. Januar 2008

Benutzer- und Administrationshandbuch

© 2006, 2007 AuthentiDate Deutschland GmbH – Alle Rechte vorbehalten. Der Name AuthentiDate ist eine eingetragene Marke der AuthentiDate International AG. Alle anderen in diesem Dokument genannten Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer. AuthentiDate Deutschland GmbH ist ein Unternehmen der AuthentiDate Gruppe.

Weitergabe und Vervielfältigung nur mit ausdrücklicher Genehmigung der AuthentiDate Deutschland GmbH.

AuthentiDate Deutschland GmbH, Großenbaumer Weg 6, 40472 Düsseldorf / Germany Tel. ++49 (0)211 - 43 69 89 0 www.authentidate.de info@authentidate.de

Irrtümer und technische Änderungen vorbehalten. Im Zuge der Produktentwicklung behalten sich Authen- tiDate Deutschland GmbH und AuthentiDate International AG das Recht vor Änderungen an Produkten und Leistungen, auch ohne vorherige Benachrichtigung, vorzunehmen.

AuthentiDate SLM Base Component

V3.0

Inhaltsverzeichnis

Benutzer- und Administrationshandbuch

Abbildungsverzeichnis

5

Tabellenverzeichnis

6

1 Einleitung

8

1.1 Aufbau des Handbuchs

8

1.2 Einsatzbereich

9

1.3 Prozessumgebung (stark/schwach)

9

1.4 Vorgangs-/Auftragssteuerung (Signaturerzeugung/Signaturprüfung)

11

1.5 Sichere Verzeichnisse

12

1.6 Authentisierung

12

2 Konfiguration von SLMBC

14

2.1

Hauptkonfiguration

14

2.1.1 Element <httpServer>

15

2.1.2 Element <clientNetworkAccessParameter>

17

2.1.3 Element <logging>

20

2.1.4 Element <evgLogging>

21

2.1.5 Element <weakProcessBoundEnvironment>

23

2.1.6 Element <knownAttributeOid>

24

2.1.7 Element <authenticationPolicies>

24

2.1.8 Element <license>

25

2.1.9 Element <xmlProtocolHandlerPool>

25

2.2 Nebenkonfiguration Chipkartenleser

41

2.3 Nebenkonfiguration Benutzer

42

2.3.1

Hashwerte für Benutzerpasswörter

43

2.4

Nebenkonfiguration Gruppen

46

2.4.1

Hashwerte für Gruppenkonfigurationen

48

3 SLMBC-Schnittstelle

51

3.1

Einsatzszenarien

52

3.1.1 Vollständige SAK zur Signaturerstellung

52

3.1.2 Vollständige SAK zur Signaturprüfung

53

3.2

F1Sign – Signaturerstellung zu Hashwerten

54

3.2.1 F1Sign Anfragedokument

55

3.2.2 F1Sign Antwortdokument

57

3.2.3 F1Sign Fehlerdokument

57

3.3

F2Verify – Signaturprüfung zu Hashwerten

58

3.3.1 F2Verify Anfragedokument

58

3.3.2 F2Verify Antwortdokument

59

3.3.3 F2Verify Fehlerdokument

60

3.4

F3Lock – Anlegen eines Auftrags

61

3.4.1 F3Lock Anfragedokument

62

3.4.2 F3Lock Antwortdokument

64

3.4.3 F3Lock Fehlerdokument

64

3.5

F4FetchTimeStamp – Anlegen eines Auftrags

65

3.5.1 F4FetchTimestamp Anfragedokument

66

3.5.2 F4FetchTimestamp Antwortdokument

66

3.5.3 F4FetchTimestamp Fehlerdokument

66

3.6

F5SignFile – Ausführung eines Signierauftrags

67

3.6.1 F5SignFile Anfragedokument

67

3.6.2 F5SignFile Antwortdokument

68

3.6.3 F5SignFile Fehlerdokument

68

3.7

F6VerifyFile – Ausführung eines Verifikationsauftrags

69

3.7.1

F6VerifyFile Anfragedokument

69

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

3.7.2 F6VerifyFile Antwortdokument

70

3.7.3 F6VerifyFile Fehlerdokument

70

3.8

F7Unlock– Beenden eines Auftrags

70

3.8.1 F7Unlock Anfragedokument

72

3.8.2 F7Unlock Antwortdokument

72

3.8.3 F7Unlock Fehlerdokument

73

3.9

F8Deactivate – Deaktivieren von Signaturkarten

73

3.9.1 F8Deactivate Anfragedokument

74

3.9.2 F8Deactivate Antwortdokument

74

3.9.3 F8Deactivate Fehlerdokument

74

3.10

F9List – Auflisten von Signaturkarten

75

3.10.1 F9List Anfragedokument

76

3.10.2 F9List Antwortdokument

76

3.10.3 F9List Fehlerdokument

77

3.11

F10GetStatus – Abfragen eines Auftragsstatus

77

3.11.1 F10GetStatus Anfragedokument

78

3.11.2 F10GetStatus Antwortdokument

78

3.11.3 F10GetStatus Fehlerdokument

80

3.12

F12Freeze – Anhalten eines Auftrags

80

3.12.1 F12Freeze Anfragedokument

81

3.12.2 F12Freeze Antwortdokument

81

3.12.3 F12Freeze Fehlerdokument

81

3.13

F13Thaw – Fortsetzen eines Auftrags

82

3.13.1 F13Thaw Anfragedokument

82

3.13.2 F13Thaw Antwortdokument

82

3.13.3 F13Thaw Fehlerdokument

83

3.14

F14GetURL – Dateidownload vorbereiten

83

3.14.1 F14GetURL Anfragedokument

84

3.14.2 F14GetURL Antwortdokument

84

3.14.3 F14GetURL Fehlerdokument

85

3.15 Download – Download einzelner Dateien

85

 

3.16 Prüftiefe

86

4 Protokoll- und Fehlermeldungen

88

4.1 Einträge in die Protokolldatei

88

4.2 Fehlermeldungen beim Start von SLMBC

90

4.3 Fehlermeldungen der Schnittstelle von SLMBC

91

5 Literaturverzeichnis

94

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Abbildungsverzeichnis

Abbildung 1: Steuerung eines Vorgangs Abbildung 2: Steuerung paralleler Vorgänge Abbildung 3: Benutzerkennwörter Startdialog Abbildung 4: Benutzerkennwörter Zufallszahlen Abbildung 5: Benutzerkennwörter Eingabe Abbildung 6: Benutzerkennwörter Hashwerte Abbildung 7: Gruppenkonfiguration Abbildung 8: Startdialog des Hilfsprogramms groupFP Abbildung 9: Berechnung der Gruppen-Hashwerte Abbildung 10: Prozessgrenzen bei der Signaturerstellung Abbildung 11: Prozessgrenzen bei der Signaturprüfung

11

11

44

44

45

46

47

49

50

52

53

AuthentiDate SLM Base Component

V3.0

Tabellenverzeichnis

Benutzer- und Administrationshandbuch

Tabelle 1: Parameter des XML-Elements <httpServer>

17

Tabelle 2: Parameter des XML-Elements <authenticationConfigs>

18

Tabelle 3: Parameter des XML-Elements <proxyConfigs>

18

Tabelle 4: Parameter des XML-Elements <httpAccessConfigs>

19

Tabelle 5: Parameter des XML-Elements <timestampClients>

20

Tabelle 6: Parameter des XML-Elements <logging>

21

Tabelle 7: Parameter des XML-Elements <evgLogging>

23

Tabelle 8: Parameter des XML-Elements <weakProcessBoundEnvironment>

23

Tabelle 9: Parameter des XML-Elements <knownAttributeOid>

24

Tabelle 10: Parameter des XML-Elements <authenticationPolicies>

25

Tabelle 11: Parameter des XML-Elements <license>

25

Tabelle 12: Parameter des XML-Elements <xmlProtocolHandlerPool>

26

Tabelle 13: Parameter des XML-Elements <accessAA>

26

Tabelle 14: Parameter des XML-Elements <F1SignRequest>

30

Tabelle 15: Parameter des XML-Elements <F2VerifyRequest>

35

Tabelle 16: Parameter des XML-Elements <F3LockRequest>

36

Tabelle 17: Parameter des XML-Elements <F5SignFileRequest>

37

Tabelle 18: Parameter des XML-Elements <F6VerifyFileRequest>

39

Tabelle 19: Parameter des XML-Elements <F9ListRequest>

40

Tabelle 20: Nebenkonfiguration Chipkartenleser

41

Tabelle 21: Nebenkonfiguration Benutzer

43

Tabelle 22: F1Sign Anfragedokument

56

Tabelle 23: F1Sign Antwortdokument

57

Tabelle 24: F1Sign Fehlerdokument

57

Tabelle 25: F2Verify Anfragedokument

59

Tabelle 26: F2Verify Antwortdokument

60

Tabelle 27: F2Verify Fehlerdokument

60

Tabelle 28: F3Lock Anfragedokument

64

Tabelle 29: F3Lock Antwortdokument

64

Tabelle 30: F3Lock Fehlerdokument

65

Tabelle 31: F4FetchTimestamp Anfragedokument

66

Tabelle 32: F4FetchTimestamp Antwortdokument

66

Tabelle 33: F4FetchTimestamp Fehlerdokument

67

Tabelle 34: F5SignFile Anfragedokument

68

Tabelle 35: F5SignFile Antwortdokument

68

Tabelle 36: F5SignFile Fehlerdokument

68

Tabelle 37: F6VerifyFile Anfragedokument

69

Tabelle 38: F6VerifyFile Antwortdokument

70

Tabelle 39: F6VerifyFile Fehlerdokument

70

Tabelle 40: F7Unlock Anfragedokument

72

Tabelle 41: F7Unlock Antwortdokument

73

Tabelle 42: F7Unlock Fehlerdokument

73

Tabelle 43: F8Deactivate Anfragedokument

74

Tabelle 44: F8Deactivate Antwortdokument

74

Tabelle 45: F8Deactivate Fehlerdokument

74

Tabelle 46: F9List Anfragedokument

76

Tabelle 47: F9List Antwortdokument

77

Tabelle 48: F9List Fehlerdokument

77

Tabelle 49: F10GetStatus Anfragedokument

78

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Tabelle 50: F10GetStatus Antwortdokument

78

Tabelle 51: F10GetStatus Jobstatus

80

Tabelle 52: F10GetStatus Fehlerdokument

80

Tabelle 53: F12Freeze Anfragedokument

81

Tabelle 54: F12Freeze Antwortdokument

81

Tabelle 55: F12Freeze Fehlerdokument

82

Tabelle 56: F13Thaw Anfragedokument

82

Tabelle 57: F13Thaw Antwortdokument

83

Tabelle 58: F13Thaw Fehlerdokument

83

Tabelle 59: F14GetURL Anfragedokument

84

Tabelle 60: F14GetURL Antwortdokument

84

Tabelle 61: F14GetURL Fehlerdokument

85

Tabelle 62: Fehlermeldungen in den Protokolldateien

90

Tabelle 63: Fehlermeldungen beim Start von SLMBC

91

Tabelle 64: Allgemeine Fehlermeldungen (XML-Schemata)

92

Tabelle 65: Allgemeine Fehlermeldungen (Beschreibung)

93

AuthentiDate SLM Base Component

V3.0

1 Einleitung

Benutzer- und Administrationshandbuch

„AuthentiDate Signature Lifecycle Management Base Component“ (Kurzbezeichnung „SLMBC“) ist eine Signaturanwendungskomponente (SAK) gemäß SigG / SigV, die der Erzeugung und Prüfung qualifizierter elektronischer Signaturen dient.

SLMBC kann alternativ zur Verwendung als SAK auch als technische Komponente für Zertifizie- rungsdiensteanbieter mit Bestätigung gemäß Deutschem Signaturgesetz zwecks Erzeugung qualifizierter elektronischer Zeitstempel eingesetzt werden. Eine Verwendung als SAK schließt jedoch vorgenannten Einsatz aus. Nähere Informationen hierzu entnehmen Sie bitte dem "Benutzer- und Administrationshandbuch SLMBC als technische Komponente für ZDAs zur Erzeugung von Zeitstempeln".

Das vorliegende Handbuch „AuthentiDate SLM Base Component“ wendet sich an zwei ver- schiedene Gruppen:

Administratoren und

Softwareentwickler

Administratoren werden durch dieses Dokument in die Lage versetzt, SLMBC zu konfigurieren und zu warten. Softwareentwickler sind mit diesem Dokument in der Lage, aus ihren eigenen Applikationen heraus SLMBC anzusprechen und dessen Feature zu nutzen.

Bitte beachten Sie: Bei der Integration des SLMBC als technische Komponente für Zertifizie- rungsdienste oder als Signaturanwendungskomponente müssen alle in diesem Handbuch ent- haltenen Hinweise, die für einen sicheren Betrieb des SLMBC notwendig sind, vom Hersteller der Anwendung („Integrator“) an die Endbenutzer dieser Anwendung weitergegeben werden. Zu diesem Zweck sind alle derartigen Hinweise besonders gekennzeichnet.

1.1 Aufbau des Handbuchs

Das vorliegende Handbuch “AuthentiDate SLM Base Component“ unterteilt sich in zwei Berei- che: Die Administration von SLMBC bei Endanwendern und die Einbindung von SLMBC in Ap- plikationen der jeweiligen Hersteller über die SLMBC-Schnittstelle.

Das Kapitel „Konfiguration von SLMBC“ behandelt den administrativen Bereich der SLMBC- Dokumentation. Es beschreibt in allen Details die Konfigurationsdateien von SLMBC und wel- che Parameter angepasst werden können.

Das Kapitel „SLMBC-Schnittstelle“ beschreibt die Möglichkeiten, um SLMBC durch Benutzer (Software-Applikationen) mit Hilfe des HTTPS-Protokolls anzusprechen. Es beschreibt insbe- sondere die Schnittstelle zur Integration von SLMBC in Drittapplikationen.

Das Kapitel „Protokoll- und Fehlermeldungen“ dokumentiert die Fehlernummern und -texte, die bei der Kommunikation mit SLMBC auftreten können. Außerdem werden mögliche Protokollein- träge erläutert.

AuthentiDate SLM Base Component

V3.0

1.2 Einsatzbereich

Benutzer- und Administrationshandbuch

Obwohl SLMBC auch in der Lage ist, auf Einzelplatz-PCs Signaturen durch manuelle Anforde- rung zu erzeugen bzw. zu verarbeiten, ist es für den Bereich der hochvolumigen Erzeugung bzw. Verarbeitung von qualifizierten Signaturen und Zeitstempeln zum Einsatz auf unterschied- lichen Betriebssystemen (Windows, Linux) ausgelegt und dient der Optimierung und Automati- sierung elektronischer Prozesse (Stapelsignaturen und Massensignaturen).

Einsatzszenarien sind zum Beispiel die Bestätigung des Medienbruchs im Scan-Capture- Prozess, die Absicherung von elektronischen Rechnungen gemäß gesetzlicher Anforderungen oder auch das automatisierte Nachsignieren zum Zwecke der Langzeitarchivierung elektronisch signierter Daten.

Bei der Erstellung qualifizierter elektronischer Signaturen schützt SLMBC die zu signierenden Daten aktiv während des gesamten Prozesses der Signaturerstellung. Dazu gehören das Anle- gen des Auftrags, die optionale Anzeige der Daten und das Erzeugen von Signaturen.

Für die Erzeugung von Signaturen können mehrere sichere Chipkartenterminals – gegebenen- falls gruppiert - gleichzeitig verwendet werden. Bei der Erzeugung von Signaturen können opti- onal qualifizierte Zeitstempel zum Nachweis des Zeitpunktes der Erstellung eingeholt und in die Signatur eingebettet werden.

Bei der Prüfung elektronischer Signaturen schützt SLMBC die zu prüfenden Daten zusammen mit den Prüfergebnissen aktiv während des gesamten Prozesses der Signaturprüfung. Dazu gehören das Anlegen des Auftrags, die optionale Anzeige der Daten und das Prüfen der Signa- turen.

Die Prüfung erfolgt nach Anforderung durch den Prüfenden entweder teilweise oder vollständig unter Beachtung hinreichend aktueller Auskünfte zuständiger Zertifizierungsdienste zu der Exis- tenz und Sperrung von Zertifikaten. Diese Auskünfte holt SLMBC bei Bedarf vom jeweiligen Zertifizierungsdienst ein. In die zu prüfenden Signaturen eingebettete qualifizierte Zeitstempel werden auf gleichem Wege überprüft.

Diese Prüfung findet in unterschiedlichen Prüftiefen, maximal bis zur Erlangung von nicht zu- rückweisbaren Prüfergebnissen statt. Die Prüfergebnisse können dann ebenfalls mit den elek- tronischen Dokumenten und Signaturen archiviert werden.

Hierbei ist es wichtig die Begriffe Anforderung und Erstellung von Zeitstempeln zu differenzie- ren. Beim Einsatz von SLMBC bei einem Endkunden werden von SLMBC die Zeitstempel aus- schließlich angefordert. Erstellt werden Zeitstempel bei (angezeigten oder akkreditierten) Zerti- fizierungsdiensten in einer sicheren Server-Umgebung („Trust-Center“).

Nachfolgend werden die beiden Einsatzgebiete für den Einsatz als vollständige Signatur- anwendungskomponente erläutert.

1.3 Prozessumgebung (stark/schwach)

Im Gegensatz zu anderen Signaturanwendungskomponenten kann SLMBC nicht nur an Ar- beitsplätzen für Anwender konfiguriert werden, sondern spielt seine Stärken besonders im Ein- satz in Server-Umgebungen aus.

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Aus diesem Grund werden zwei Einsatz-Szenarien definiert.

Als schwach prozessgebundener Einsatz wird bezeichnet, wenn SLMBC auf einem Arbeitsplatzsystem installiert ist, an dem ein Signaturkarteninhaber („Anwender“) SLMBC die zu signierenden bzw. prüfenden Daten interaktiv zuführt. Die Zuführung ge- schieht zwar immer über die Software-Applikation, die SLMBC dazu beauftragt, diese wird aber durch den Anwender bedient.

Als stark prozessgebundener Einsatz wird ein abgeschlossener Betrieb bezeichnet, bei dem die zu signierenden bzw. zu prüfenden Daten SLMBC vollautomatisch ohne ei- ne Interaktion mit dem Signaturkarteninhaber („Anwender“) zugeführt werden. Die Zu- führung geschieht zwar auch hier immer über die Software-Applikation, die SLMBC dazu beauftragt, diese wird aber durch automatisierte Prozesse gesteuert.

Durch eine einfache Einstellung in der Hauptkonfigurationsdatei wird SLMBC mitgeteilt, in wel- chem Einsatzumfeld gearbeitet wird. Für diese beiden Einsatzfelder erzwingt SLMBC unter- schiedliche Abläufe der Vorgangsverarbeitung und unterstützt unterschiedliche Arten der Akti- vierung und Deaktivierung von Signaturkarten.

Im stark prozessgebundenen Einsatz erlaubt SLMBC die Verwendung derselben Gruppe von Signaturkarten durch mehrere Vorgänge gleichzeitig. Des Weiteren kann der Signaturkarten- inhaber beim Starten des Dienstes einmalig durch Eingabe seiner PINs die Signaturkarten in- nerhalb der Gruppe aktivieren und diese dann für einen längeren Zeitraum SLMBC zur Verfü- gung stellen.

Voraussetzung für den stark prozessgebundenen Einsatz im Sinne des Signaturgesetzes ist die Verwendung bestätigter Multisignatur-Signaturerstellungseinheiten (Multisignatur-SSEE); es sind die Anforderungen der Multisignatur-SSEE zu erfüllen, d. h. sie dürfen ausschließlich in besonders gesicherten Umgebungen, z. B. in einem Rechenzentrum, verwendet werden. Die Anwendung (der Benutzer) muss dabei sicherstellen, dass die zu signierenden Daten plausibili- siert werden und nur gleichartige Dokumente signiert werden.

Im schwach prozessgebundenen Einsatz hingegen nutzt ein Vorgang eine Gruppe exklusiv. Nach Abschluss eines Vorgangs werden die Signaturkarten einer Gruppe automatisch deakti- viert und müssen für die Bearbeitung des nächsten Vorgangs erneut aktiviert werden.

Mit der Aktivierung von Signaturkarten ist die Operation gemeint, mit der sich der Signaturkar- teninhaber durch Eingabe seiner Identifikationsdaten gegenüber der Signaturkarte identifiziert und diese daraufhin Signaturen erzeugen kann. Mit der Deaktivierung ist die Operation gemeint, durch die die Signaturkarte dazu veranlasst wird, erst nach erneuter Authentifizierung des Be- sitzers weitere Signaturen zu erzeugen.

Im schwach prozessgebundenen Einsatz können Multisignatur-SSEE eingesetzt werden, um Stapelsignaturen zu erzeugen. Dabei wird die Multisignatur-SSEE für die Signaturerstellung eines Stapels von Dateien aktiviert. Der Anwender kann und soll sich während des Signaturvor- ganges davon überzeugen, welche Daten er signiert. Zur Erfüllung der Anforderungen im Sinne des Signaturgesetzes muss die Anwendung in einem geschützten Einsatzbereich gemäß der Empfehlung der Bundesnetzagentur betrieben werden, wie sie in der Regel in einem normalen Büroumfeld vorliegt. Eine entsprechende Einsatzumgebung muss bei Einzelsignaturen mit Ein- zelsignatur-SSEE vorliegen.

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

1.4 Vorgangs-/Auftragssteuerung (Signaturerzeu- gung/Signaturprüfung)

Der gesamte Prozess der Signaturverarbeitung (Erstellung und Prüfung von Signaturen und Zeitstempeln) wird innerhalb von SLMBC durch eine Vorgangs- bzw. Auftragssteuerung umge- setzt.

Diese Vorgangssteuerung wird intern für den Benutzer vollkommen transparent über eine so genannte „Statemachine“
Diese Vorgangssteuerung wird intern für den Benutzer vollkommen transparent über eine so
genannte „Statemachine“ realisiert. Dies bedeutet, dass wie in einem Workflow-Prozess jeder
Auftrag, der an SLMBC übergeben wird, einen initialen Zustand hat und dann verschiedene
weitere Zustände durchläuft.
Erstellung Vorgang 1
f3Lock Datenübergabe
f5SignFile
f7Unlock Datenrückgabe
Abschluss Vorgang 1
08:00
08:05

Schutz der Daten durch SLMBC 08:00 - 08:04

Abbildung 1: Steuerung eines Vorgangs

Den Zustand jedes Vorgangs kann der Benutzer jederzeit über SLMBC erfragen. Findet keine Interaktion mit dem Benutzer statt, werden die Vorgänge vollkommen automatisiert verarbeitet und wandern so von einem Zustand zum nächsten, bis sie verarbeitet wurden.

Die Vorgangssteuerung wurde für eine massenhafte und parallele Verarbeitung konzipiert. Das bedeutet, dass der Benutzer SLMBC mehrere Aufträge gleichzeitig in Arbeit geben kann und SLMBC jeden für sich sicher verarbeitet. Die Vorgänge werden dabei abhängig von der einge- setzten Umgebung (Anzahl Chipkartenterminals, Prozessoren) in mehreren Prozessen (Mul- tithreading) gleichzeitig verarbeitet.

Erstellung Vorgang 2 f3Lock Datenübergabe f5SignFile f7Unlock Datenrückgabe Abschluss Vorgang 2 Erstellung Vorgang
Erstellung Vorgang 2
f3Lock Datenübergabe
f5SignFile
f7Unlock Datenrückgabe
Abschluss Vorgang 2
Erstellung Vorgang 3
f3Lock Datenübergabe
f5SignFile
f7Unlock Datenrückgabe
Abschluss Vorgang 3
Erstellung Vorgang 4
f3Lock Datenübergabe
f5SignFile
f7Unlock Datenrückgabe
Abschluss Vorgang 4
09:00
09:15

Schutz der Daten durch SLMBC 09:02 - 09:12

Abbildung 2: Steuerung paralleler Vorgänge

Die Vorgangssteuerung verarbeitet und manipuliert für jeden Vorgang ein exklusiv zugeordne- tes sicheres Verzeichnis (s. auch Kapitel 1.5 „Sichere Verzeichnisse“).

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Das sichere Verzeichnis enthält die vom Anwender übergebenen Daten. Während der aktiven Erstellung bzw. Prüfung von Signaturen ist jeglicher Zugriff auf das sichere Verzeichnis aus- schließlich SLMBC möglich. Zur restlichen Laufzeit eines Vorganges ist dem Benutzer (Soft- ware-Applikation) und Anwendern der lesende Zugriff erlaubt, wohingegen nur SLMBC schrei- ben und manipulieren darf.

1.5 Sichere Verzeichnisse

Zwischen der Betrachtung eines Dokuments, der sicheren Eingabe der PIN am Kartenlesegerät und der Signaturerstellung vergeht oftmals nur ein kurzer Zeitraum, der aber theoretisch aus der Sicht eines Angreifers ausreicht, um Dokumente zu fälschen oder weitere Dokumente un- entdeckt einem vorhandenen Stapel hinzuzufügen.

Um diese Art der Angriffsversuche zu unterbinden, übernimmt SLMBC aktiv den Schutz der zu verarbeitenden Daten. Dabei unterstützt SLMBC die Absicherung von Benutzerdaten, Doku- menten und eben auch Verzeichnissen.

Wird SLMBC zur Erstellung oder Prüfung von Signaturen betrieben, nimmt es die zu signieren- den Dokumente in Form von Dateien entgegen. Die Dokumente werden in ein sicheres Ver- zeichnis verschoben und verbleiben dort solange, bis ein Benutzer (Software-Applikation) ihre Freigabe anfordert. Dies kann entweder nach der Erstellung bzw. Prüfung der Signaturen oder aber auch vorzeitig geschehen.

SLMBC garantiert, dass entweder alle Signaturen erstellt bzw. geprüft werden oder der Prozess keine Signaturen bzw. Prüfergebnisse erhält. Das heißt, für den Benutzer (Software- Applikation) ist die Signaturerstellung und -prüfung für eine Menge von Dokumenten transakti- onsorientiert.

1.6 Authentisierung

Bei jedem Aufruf einer Funktion von SLMBC identifiziert und authentifiziert SLMBC den aufru- fenden Benutzer (Software-Applikation) anhand einer Benutzerkennung und eines Passwortes. Dies dient dazu, die Berechtigung des Benutzers zum Aufruf der jeweiligen Funktion zu prüfen. Verschiedene Benutzer können dabei dieselbe Benutzerkennung verwenden.

Für die Erstellung von Signaturen wird beim Aufruf der Funktion zur Erzeugung eines Signatur- auftrages, beim Aufruf der Funktion zum Starten eines Signaturvorganges und beim Aufruf der internen Funktion von SLMBC zur konkreten Erzeugung einer einzelnen Signatur eine weitere Identifikation und Authentifizierung des Signaturkarteninhabers anhand einer Kennung und ei- nes Passwortes durchgeführt. Sie dient SLMBC zum Zweck, die Berechtigung der Verwendung einer konkreten Gruppe von Signaturerstellungseinheiten zu überprüfen.

Die Benutzerkennung zur Identifikation eines Benutzers (Software-Applikation) und die Benut- zerkennung zur Identifikation eines Signaturkarteninhabers zu einer Gruppe von Signaturkarten sind voneinander unabhängig.

Die Authentisierung des Besitzers einer Gruppe von Signaturkarten wird erst beim Aufruf der internen Funktion von SLMBC zur Erzeugung einer einzelnen Signatur wirklich durchgeführt. Die Funktionen zum Erzeugen eines Signaturauftrages und zum Starten der tatsächlichen Er- stellung von Signaturen nehmen nur die Identifikation direkt beim Funktionsaufruf vor, während

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

sich SLMBC das zugehörige Passwort nur für den späteren Aufruf der internen Funktion merkt. So wäre beim Erzeugen des Signaturauftrages eigentlich keine Angabe des Passwortes not- wendig. Tatsächlich wird es aber durch SLMBC zum Vergleich mit dem Passwort verwendet, welches der Benutzer beim Aufruf der Funktion zum Starten der Erstellung von Signaturen er- neut angibt. Auf diese Weise wird bei der Funktion zum Starten der Urheber des Auftrages si- cher identifiziert.

AuthentiDate SLM Base Component

V3.0

2 Konfiguration von SLMBC

Benutzer- und Administrationshandbuch

Die Konfiguration von SLMBC geschieht ausschließlich über XML-Dateien. Es gibt eine Haupt- konfigurationsdatei und mehrere Nebenkonfigurationsdateien.

Mit der Hauptkonfigurationsdatei, die beim Start von SLMBC als Parameter mit angegeben wird, wird das gesamte Verhalten des Systems gesteuert.

Mit den Nebenkonfigurationsdateien werden die Chipkartenleser, die Signaturerstellungs- einheiten („SmartCards“), die Benutzer und die Gruppen („Mandanten“) parametrisiert.

2.1 Hauptkonfiguration

Der Name der Konfigurationsdatei wird SLMBC beim Start als Parameter übergeben. Das For- mat dieser Datei ist wie bei allen anderen Konfigurationsdateien XML. Das XML-Schema dieser Datei wird in mehreren Schema-Dateien (mit der Endung .xsd) definiert, die in elektronischer Form in dem von AuthentiDate ausgelieferten komprimierten Archiv unter dem Verzeichnis \developer\xml-schemata enthalten sind. Dabei ist das Wurzelelement <slmbcServer> in der Datei slmbcServer.xsd definiert. Alle weiteren Dateien werden von dort aus namentlich refe- renziert. Der Inhalt der Schema-Dateien wird hier nicht wiedergegeben, weil dies den Rahmen dieses Dokuments überschreiten würde.

Die Konfiguration lässt sich hierbei in zwei Arten einteilen, den allgemeinen Teil und die Konfi- guration der einzelnen Funktionen F1 – F14. F11 steht nicht zur Verfügung.

Die nachfolgenden Darstellungen und Tabellen erklären die einzelnen XML-Tags, die durch erfahrene Administratoren bzw. Entwickler angepasst werden können.

Hierbei werden die Konfigurationsoptionen durch eine Angabe in der dritten Spalte („Level“) folgendermaßen klassifiziert:

(1) Änderungen durch den Anwender ggfs. erforderlich bzw. möglich, (2) Änderungen nur nach Rücksprache mit dem AuthentiDate Service-Team, (3) Änderungen dürfen ausschließlich durch das AuthentiDate Service-Team vorgenom- men werden

Zuerst werden die Parameter des allgemeinen Teils beschrieben (2.1.1 bis 2.1.7) und anschlie- ßend die Elemente zu den einzelnen Funktionen von SLMBC. Hierbei ist zwischen der Konfigu- ration der Funktionen von SLMBC und dem Zugriff auf diese Funktionen über die Schnittstelle von SLMBC zu unterschieden.

Mit der Konfiguration der Funktionen sind die Einstellungen und das Reaktionsverhalten von SLMBC auf Anfragen durch den Benutzer (Software-Applikation) gemeint, während die Schnitt- stelle von SLMBC die eigentlichen Anfragen an diese Funktionen beschreibt (siehe Kapitel 3 „SLMBC-Schnittstelle“).

Da einige Konfigurationen komplexe XML-Subelemente beinhalten, die die Grenzen dieses Handbuchs sprengen würden, verweisen wir hiermit auf die Schemata-Dateien, die mit ausge- liefert werden. Die Dateien befinden sich dabei in dem Verzeichnis \slmbc\developer\xml-

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

schemata\, wobei hier zwischen der administrativen Konfiguration und der Entwickler- Schnittstelle unterschieden wird. Die Schemata des erstgenannten befinden sich in dem Unter- verzeichnis \configuration\ und die des letzteren in dem Unterverzeichnis \interface\.

2.1.1 Element <httpServer>

Mit dem Element <httpServer> wird eingestellt, unter welcher Adresse (resp. unter welchen Ad- ressen) und mit welchem Protokoll SLMBC angesprochen werden kann.

Im Element <listeners> kann zunächst eine beliebige Anzahl von Elementen <httpsListener> aufgeführt werden. Mindestens ein direkt eingebettetes Element muss im umgebenden <liste- ners> Element aufgeführt werden. Mit jedem <httpsListener> Element wird definiert, dass SLMBC über eine bestimmte Adresse per HTTPS erreichbar ist.

Für die Konfiguration eines HTTPS-Ports steht das XML-Tag <httpsSignerInformation> samt aller eingebetteten Tags zur Verfügung.

Im <baseSignerInformation> Element wird dann definiert, wo der private SSL-Schlüssel für das HTTPS-Protokoll zu finden ist. Zum Betreiben von SLMBC wird eine PKCS#12-Datei benötigt, welche den privaten Schlüssel für die SSL-Kommunikation und das zugehörige SSL-Zertifikat unter einem bestimmten Eintrag enthält.

Eine PKCS#12-Datei mit SSL-Zertifikat kann entweder von einem entsprechenden Anbieter wie Verisign oder TC Trustcenter erworben werden oder mit einem Tool wie OpenSSL erzeugt wer- den. Die genaue Vorgehensweise hängt vom Einsatzzweck von SLMBC ab. Auf keinen Fall darf die mitgelieferte PKCS#12-Datei im Produktivbetrieb genutzt werden.

Die Elemente <supportedCipherSuite> und <servlet> dürfen nicht geändert werden. Details, die über die unten genannte Information hinausgehen, sind in den XML-Schemadateien zu finden.

01

<httpServer>

02

<listeners>

03

<httpsListener>

04

<hostname>localhost</hostname>

05

<port>443</port>

06

<minThreads>5</minThreads>

07

<maxThreads>10</maxThreads>

08

<maxIdleTimeMs>0</maxIdleTimeMs>

09

<httpsSignerInformation>

10

<baseSignerInformation>

11

<joinedSignerInformation>

12

<keyStoreJoinedSignerInformation>

13

<keyStore>

14

<keyStoreDef>

15

<keyStoreType>PKCS12</keyStoreType>

16

<keyStoreSource>

17

<uriStoredData>file:serverKey.p12</uriStoredData>

18

</keyStoreSource>

19

<password>pwdkey</password>

20

</keyStoreDef>

21

</keyStore>

22

<keyAlias>aliasKey</keyAlias>

23

<keyPassword>pwdkey</keyPassword>

24

</keyStoreJoinedSignerInformation>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

25

</joinedSignerInformation> </baseSignerInformation>

26

27

</httpsSignerInformation>

 

28

<supportedCipherSuite>TLS_RSA_WITH_AES_256_CBC_SHA

29

</supportedCipherSuite>

 

30

<supportedCipherSuite>SSL_RSA_WITH_3DES_EDE_CBC_SHA

31

</supportedCipherSuite>

 

32

</httpsListener>

33

</listeners>

34

35

<servlet>

36

<name>Interface for sigAnf</name>

37

<httpContext>/xml</httpContext>

38

<servletClass>de.authentidate.module.

39

xmlproto.XmlServlet</servletClass>

40

</servlet>

41

42

<servlet>

43

<name>File download handler</name>

44

<httpContext>/slmbc-download/*</httpContext>

45

<servletClass>de.authentidate.sir.

46

orderbook.DownloadServlet</servletClass>

47

</servlet>

48

49

<useDefaultNotFoundHandler>true</useDefaultNotFoundHandler>

50

</httpServer>

 

Zeile

XML-Tag

Level

Beschreibung

4

hostname

1

Benennt die IP-Adresse oder den DNS-Namen unter wel- chem SLMBC ansprechbar sein soll. Die besondere Ad- resse „localhost“ kann verwendet werden, damit SLMBC nur lokal von Programmen auf dem Rechner selbst ange- sprochen werden kann. Der besondere Wert „0.0.0.0“ kann eingestellt werden, damit SLMBC unter allen IP-Adressen erreichbar ist, die im Betriebssystem als lokale Netzwerk- schnittstellen konfiguriert sind bzw. sein werden.

5

port

1

Benennt die Port-Nummer, unter der SLMBC per TCP angesprochen werden können soll.

6

minThreads

2

Benennt die Anzahl der Threads, welche von SLMBC min- destens bereitgehalten werden sollen, um Anfragen, die über die genannte Netzwerkschnittstelle und Port-Nummer an SLMBC gerichtet werden, zu bedienen. Die Anzahl der Threads wird auch dann bereitgehalten, wenn aktuell keine oder weniger Anfragen zu bearbeiten sind.

7

maxThreads

2

Benennt die Anzahl der Threads, die von SLMBC maximal parallel betrieben werden sollen, um Anfragen, die über die genannte Netzwerkschnittstelle und Port-Nummer an SLMBC gerichtet werden, zu bedienen. Die Anzahl der Threads wird wieder auf den Wert bis hin zum Wert von <minThreads> verringert, sobald weniger gleichzeitige Anfragen zu bearbeiten sind.

17

uriStoredData

1

Benennt den Namen einer Datei im Format PKCS#12, welche den privaten Schlüssel für die SSL-Verbindungen und das zugehörige Zertifikat des Servers enthält. Der Dateiname kann mit absolutem oder relativem Pfad ange- geben werden. Relative Pfade werden bezogen auf das zum Zeitpunkt des Startens von SLMBC aktuelle Arbeits- verzeichnis interpretiert.

19

password

1

Innerhalb des Elementes <keyStoreDef> ist das Element

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

     

<password> auf den Wert zu setzen, mit dem die Ent- schlüsselung der PKCS#12-Datei an sich vorgenommen werden kann.

22

keyAlias

1

Der Wert des Elementes <keyPassword> ist so zu setzen, dass damit der private SSL-Schlüssel entschlüsselt und benutzt werden kann

23

keyPassword

1

Bezeichnet den Namen des Eintrages („friendly name“), unter dem der private SSL-Schlüssel und das zugehörige Zertifikat in die PKCS#12-Datei eingetragen wurde.

28, 30

supportedCipherSuite

3

Bestimmt die minimale Anforderung an die Verschlüs- selungsalgorithmen für die SSL-Kommunikation.

37, 44

httpContext

2

Angabe einer relativen URL, unter der das Servlet ange- sprochen werden kann.

Tabelle 1: Parameter des XML-Elements <httpServer>

2.1.2 Element <clientNetworkAccessParameter>

Mit dem Element <clientNetworkAccessParameter> werden Verbindungsparameter definiert, die SLMBC benötigt, wenn um als Client-Applikation Verbindungen zu anderen Servern aufzu- bauen, wie z. B. zu einem Zertifizierungsdiensteanbieter oder aber auch beim zweiteiligen Be- trieb von SLMBC zum zweiten Teil von SLMBC, auf dem die Funktionen F1, F8, F9 und F2 ausgeführt werden. Zu dem Element <clientNetworkAccessParameter> gehören die folgenden Unterelemente:

authenticationConfigs – Einfache Konfiguration mit Benutzername und Passwort.

proxyConfigs – Konfiguration eines Proxys für HTTP-Verbindungen. Java-Parameter beim Aufruf der JVM sind wirkungslos.

httpAccessConfigs – Vollständige Konfiguration der Zugangsdaten zu einer URL- Verbindung, inklusive Beschreibung des Zugriffs, des Proxys bzw. der SSL- Verbindungsparameter.

httpClientsConfigurations – Beschreibung einer URL-Verbindung mit Referenzierung auf die Konfiguration der Zugangsdaten.

timestampClients – Vollständige Konfiguration des Zugangs zu einem Zeitstempel- Trustcenter inklusive Beschreibung der Nutzerdaten und der Verbindungsdaten.

Die hier genannten Daten können beispielsweise bei der Konfiguration der Funktion F1 genutzt werden. Falls die Signatur mit einem Zeitstempel abgesichert werden soll, wird bei der Konfigu- ration der Funktion F1 nur eine Referenz auf den hier definierten Zeitstempelnutzer angegeben. Bei der Konfiguration des Zeitstempelnutzers kann dann auf eine URL-Verbindung, diese wie- derum auf einen Proxy und dieser daraufhin auf die erstgenannte Benutzer-zu-Passwort- Konfiguration zurückgreifen.

Dies bietet den Vorteil, dass die Netzwerk-Zugangsdaten nur an einer Stelle geändert werden müssen, da alle weiteren Eigenschaften diese referenzieren. Alle Subelemente der genannten fünf Elemente können mehrfach vorkommen.

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

01

<authenticationConfigs>

 

02

<httpAuthDef id="tsaAuth01">

 

03

<basicAuthDef>

04

<userName>streng</userName>

 

05

<password>geheim</password>

06

</basicAuthDef>

07

</httpAuthDef>

08

<httpAuthDef id="auth4InternalSlmbcCall">

09

<basicAuthDef>

10

<userName>admin</userName>

 

11

<password>pwadmin</password>

12

</basicAuthDef>

13

</httpAuthDef>

14

</authenticationConfigs>

 

Zeile

XML-Tag

Level

Beschreibung

2, 8

httpAuthDef

1

Legt die eindeutige ID des Elementes fest, auf das spä- ter referenziert werden kann.

4, 10

userName

1

Beschreibt den Benutzernamen für einen späteren Zugriff z. B. auf einen Zeitstempel-Account.

5, 11

password

1

Beschreibt das dazugehörige Passwort des Benutzers.

Tabelle 2: Parameter des XML-Elements <authenticationConfigs>

01

<proxyConfigs>

 

02

<proxyServerConfigDef id="ID000001">

03

<host>localhost</host>

 

04

<port>9090</port>

05

<httpAuth>

06

<httpAuthRef>

07

<httpAuthDefId>auth4proxy</httpAuthDefId>

08

</httpAuthRef>

09

</httpAuth>

10

</proxyServerConfigDef>

 

11

</proxyConfigs>

 

Zeile

XML-Tag

Level

Beschreibung

2

proxyServerConfigDef

1

Legt die eindeutige ID des Elementes fest, auf das später refe- renziert werden kann.

3

host

1

Beschreibt die IP-Adresse des Proxy-Servers.

4

port

1

Beschreibt den Port des Proxy-Servers.

5

httpAuth

1

Dieses Element ist optional. Man kann entweder eine Referenz auf ein <authenticationConfigs>-Element angeben, oder aber es hier definieren. Das Element wird benötigt, falls der ange- gebene Proxy eine Benutzerauthentifizierung vorgibt.

Tabelle 3: Parameter des XML-Elements <proxyConfigs>

01

<httpAccessConfigs>

02

<httpClientConfigDef id="defaultHttpAccessConfig"/>

03

04

<httpClientConfigDef id="internalSlmbcCallAccessConfig">

05

<authentication>

06

<httpAuthRef>

07

<httpAuthDefId>auth4InternalSlmbcCall</httpAuthDefId>

08

</httpAuthRef>

09

</authentication>

10

</httpClientConfigDef>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

11

12

<httpClientConfigDef id="tsaAccount01">

13

<authentication>

14

<httpAuthRef>

15

<httpAuthDefId>tsaAuth01</httpAuthDefId>

16

</httpAuthRef>

17

</authentication>

 

18

19

<proxyServerConfig>

 

20

<proxyServerConfigDef>

21

<host>localhost</host>

22

<port>8080</port>

23

<httpAuth>

24

<httpAuthRef>

 

25

<httpAuthDefId>proxytest</httpAuthDefId>

26

</httpAuthRef>

 

27

</httpAuth>

28

</proxyServerConfigDef>

 

29

</proxyServerConfig>

30

31

<sslOptions>

32

<trustedServerCert>

 

33

<encodedCertificate>

34

<certType>X.509</certType>

35

<securityProviderName>AuthentiDate</securityProviderName>

36

<certSource>

 

37

<hexEncodedData>308202…0b7a7f</hexEncodedData>

38

</certSource>

 

39

</encodedCertificate>

40

</trustedServerCert>

41

</sslOptions>

42

</httpClientConfigDef>

 

43

</httpAccessConfigs>

 

Zeile

XML-Tag

Level

Beschreibung

2, 4, 12

httpClientConfigDef

1

Legt die eindeutige ID des Elementes fest, auf das später referenziert werden kann. Das erste Element wird z. B. als leeres Element angegeben. Wenn alle weiteren Einstellungen auf dieses Element referenzieren, kann man später nur an dieser einen Stelle eine Änderung vornehmen, die dann von allen Elementen genutzt wird.

5, 13

authentication

1

Dieses Element ist optional. Es referenziert oder definiert die Benutzer-zu-Passwort-Daten.

19

proxyServerConfig

1

Dieses Element ist optional. Es definiert oder referenziert die Daten, um eine Verbindung über einen Proxy herzustellen. In diesem Beispiel wird ein komplettes Element für einen Proxy definiert und nicht referenziert.

31

sslOptions

1

Dieses Element ist optional. Es definiert die SSL- Zugangsdaten (Zertifikate), die bei einer verschlüsselten Ver- bindung benötigt werden.

Tabelle 4: Parameter des XML-Elements <httpAccessConfigs>

01 <timestampClients>

02 <timestampClientDef id="tsa01">

03 <url>http://www.authentidate.de</url>

04 <config>

05 <httpClientConfigRef>

06 <httpClientConfigDefId>tsaAccount01</httpClientConfigDefId>

07 </httpClientConfigRef>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

08

</config>

09

<defaultTimeStampFormatOidOrName>RFC3161

10

</defaultTimeStampFormatOidOrName>

11

</timestampClientDef>

 

12

</timestampClients>

Zeile

XML-Tag

Level

Beschreibung

2

timestampClientDef

1

Legt die eindeutige ID des Elementes fest, auf das später refe- renziert werden kann.

3

url

1

Dieses Element bestimmt die URL, unter der der Zeitstempel- Server zu erreichen ist.

4

config

1

Dieses Element ist optional. Es definiert oder referenziert die Zugangsdaten über das <httpClientConfigs>-Element. In diesem Beispiel wird auf ein vorher definiertes Element referenziert.

Tabelle 5: Parameter des XML-Elements <timestampClients>

2.1.3 Element <logging>

Mit dem Element <logging> wird eingestellt, in welcher Detailtiefe und wohin Logdaten zu schreiben sind.

Die für den Produktionsbetrieb empfohlene Einstellung ist INFO. In diesem Detailgrad werden nicht zu viele Ressourcen für die Aufzeichnung von Ereignissen verwendet, es werden aber dennoch der Beginn und das Ende eines Vorganges, das explizite (also nicht implizit durch Vorgänge vorgenommene) Aktivieren und Deaktivieren von Signierkarten sowie das Einstecken und Herausnehmen von Signierkarten aus dem Chipkartenlesegerät protokolliert.

01

<logging>

 

02

<logSinks>

03

<logLevel>DEBUG</logLevel>

04

<logSink>

05

<logFile>

06

<fileName>log/signer.log</fileName>

07

<maxFileSize>10485760</maxFileSize>

08

<oldLogsToKeep>30</oldLogsToKeep>

09

</logFile>

 

10

</logSink>

11

</logSinks>

12

</logging>

 

Zeile

XML-Tag

Level

Beschreibung

3

logLevel

1

Stellt den Detailgrad für alle Empfänger von Ereignismeldungen ein. Unterstützte Werte sind in der folgenden Tabelle erklärt.

ALL - Alle Ereignismeldungen werden weitergereicht.

DEBUG - Die Meldung der nachfolgend genannten Detail- grade und Meldungen zur Fehlerfindung innerhalb SLMBC werden zur Aufzeichnung an die Empfänger weitergereicht.

INFO - Meldungen der nachfolgend genannten Detailgrade und Meldungen mit nennenswerten, aber normalem Informa- tionsgehalt werden zur Aufzeichnung an die Empfänger wei- tergereicht.

WARN - Meldungen der nachfolgend genannten Detailgrade und Meldungen, die vor nicht unbedingt fehlerhaften aber po-

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

     

tentiell fehlerhaften Ereignissen warnen, werden zur Auf- zeichnung an die Empfänger weitergereicht.

ERROR - Meldungen der nachfolgend genannten Detailgra- de und Fehlermeldungen werden zur Aufzeichnung an die Empfänger weitergereicht.

FATAL - Nur Meldungen über Ereignisse, die die Funktion SLMBC (nahezu) unmöglich machen, werden zur Aufzeich- nung an die Empfänger weitergereicht.

OFF - Keine Meldung wird an die Empfänger weitergereicht.

6

fileName

1

Benennt die Datei, in der die Ereignismeldungen eingetragen werden sollen. Dies sollte ein absoluter Pfad sein. Er wird sonst relativ zu dem Verzeichnis interpretiert, in dem der Signierdienst gestartet wur- de.

7

maxFileSize

1

Stellt die maximale Größe der Logdatei ein. Nach der hier angege- benen Anzahl von Bytes wird die Datei geschlossen und umbenannt.

8

oldLogsToKeep

1

Stellt die Anzahl der alten Logdateien ein, die gespeichert werden sollen. Wenn eine Logdatei ihre maximale Größe erreicht, wird sie geschlossen und in der Weise umbenannt, dass ihr neuer Name dem alten Namen mit der neuen Dateiendung „.1“ darstellt. Die alten Log- dateien werden so umbenannt, dass die hinten angehangene Num- mer jeweils um Eins erhöht wird. Durch dieses Element wird einge- stellt, wie viele dieser alten Logdateien insgesamt vorhanden sein sollen. Negative Werte sind nicht erlaubt.

Tabelle 6: Parameter des XML-Elements <logging>

2.1.4 Element <evgLogging>

Mit dem Element <evgLogging> wird das Logging für den gemäß Signaturgesetz benötigten Betrieb konfiguriert. Dazu gehören z. B. die Neukonfiguration der Gruppen, das Erzeugen eines neuen Auftrages oder der Zugriff auf die Signaturkarte. Das Protokoll wird dabei in einer eige- nen Datei abgelegt.

Bitte beachten Sie: Die für den Produktionsbetrieb empfohlene Einstellung ist EVG_2. Die Ein- stellung EVG_NONE darf nicht verwendet werden, falls der EVG in einem signaturgesetzkon- formen Umfeld eingesetzt werden soll.

01

<evgLogging>

02

<secureLog>

03

<secureLoggingDef id="sl001">

04

<iSAMFileSecureLoggingAppenderDef>

05

<storageFolder>log</storageFolder>

06

<createIndex>true</createIndex>

07

<syncAfterEachLogWrite>true</syncAfterEachLogWrite>

08

<linkFiles>true</linkFiles>

09

<filePrefix>

10

<openLog>ol</openLog>

11

<timestampedLog>tl</timestampedLog>

12

</filePrefix>

13

<fileSuffix>

14

<dataFile>.log</dataFile>

15

<indexFile>.idx</indexFile>

16

<timestampFile>.tsr</timestampFile>

17

</fileSuffix>

18

<period4OpenLog>

19

<metronomeFactoryName>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

20

general metronome factory

21

</metronomeFactoryName>

22

<threadName>SecureABC</threadName>

23

<periodMillis>60000</periodMillis>

24

</period4OpenLog>

 

25

<openLogFileSize>10485760</openLogFileSize>

26

<timestamp>

 

27

<source>

28

<rfc3161HttpProxy>

29

<standardRfc3161HttpProxy>

30

<url>https://hera.authentidate.de/rfc3161</url>

31

<config>

 

32

<httpClientConfigRef>

33

<httpClientConfigDefId>tsaAccount01</httpClientConfigDefId>

34

</httpClientConfigRef>

35

</config>

 

36

<hackCMSVersion>false</hackCMSVersion>

37

</standardRfc3161HttpProxy>

38

</rfc3161HttpProxy>

39

</source>

 

40

<digestAlgorithmNameOrOID>SHA-1</digestAlgorithmNameOrOID>

41

<requestRetryLimit>3</requestRetryLimit>

42

</timestamp>

 

43

<secureLogConfig>

44

<logSinks>

45

<customLogSinksType>

46

<logLevel>EVG_1</logLevel>

47

<logSink>

 

48

<logFile>

49

<fileName>evg.log</fileName>

50

</logFile>

 

51

</logSink>

52

</customLogSinksType>

53

</logSinks>

 

54

</secureLogConfig>

55

</iSAMFileSecureLoggingAppenderDef>

56

</secureLoggingDef>

 

57

</secureLog>

58

</evgLogging>

 

Zeile

XML-Tag

Level

Beschreibung

5

storageFolder

1

Verzeichnis unterhalb des Serververzeichnisses, das die EVG- Protokolldateien enthalten soll.

6

createIndex

2

Eine Indexdatei zur Protokolldatei wird erzeugt. Dies beschleunigt eine eventuelle spätere Auswertung.

7

syncAfter-

2

Sorgt dafür, dass die Protokolldatei nach jedem Schreibvorgang tatsächlich auf die Festplatte geschrieben wird und nicht im Cache bleibt.

EachLogWrite

8

linkFiles

2

Verbindet mehrere Protokolldateien miteinander, indem die vorher- gehende Protokolldatei zeitgestempelt wird und der Zeitstempel in die neue Protokolldatei eingetragen wird.

10

openLog

1

Präfix einer aktuellen EVG-Protokolldatei.

11

timestamped-

1

Präfix einer zeitgestempelten EVG-Protokolldatei.

Log

14

dataFile

1

Dateinamensanhang der EVG-Protokolldatei.

15

indexFile

1

Dateinamensanhang einer Indexdatei.

16

timestampFile

1

Dateinamensanhang einer zeitgestempelten EVG-Protokolldatei.

23

periodMillis

2

Zeitdauer in Millisekunden, nach der die Protokolldatei rolliert wird.

25

openLogFileSi-

1

Maximale Dateigröße einer EVG-Protokolldatei.

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

 

ze

   

26-

 

1

Zeitstempeldienst, bei dem die Zeitstempel für die EVG-

39

Protokolldateien eingeholt werden.

40

digestAlgo-

1

Hashalgorithmus für die Zeitstempel der EVG-Protokolldateien.

rithmNameO-

rOID

41

requestRetry-

1

Anzahl der Versuche, den Zeitstempeldienst zu erreichen. Kann der Dienst nicht erreicht werden, wird der SLMBC-Dienst abgebrochen.

Limit

46

logLevel

1

Stellt den Detailgrad für alle Empfänger von Ereignismeldungen ein. Unterstützte Werte sind in der folgenden Tabelle erklärt.

EVG_ALL - Alle Ereignismeldungen werden weitergereicht.

EVG_1 - Die Meldung der nachfolgend genannten Detail- grade und Meldungen zur Fehlerfindung innerhalb SLMBC werden zur Aufzeichnung an die Empfänger weitergereicht.

EVG_2 - Meldungen der nachfolgend genannten Detailgrade und Meldungen mit nennenswerten, aber normalem Informa- tionsgehalt werden zur Aufzeichnung an die Empfänger wei- tergereicht.

EVG_3 - Meldungen der nachfolgend genannten Detailgrade und Meldungen, die vor nicht unbedingt fehlerhaften aber potentiell fehlerhaften Ereignissen warnen, werden zur Auf- zeichnung an die Empfänger weitergereicht.

(ERROR) - Meldungen der nachfolgend genannten Detail- grade und Fehlermeldungen werden zur Aufzeichnung an die Empfänger weitergereicht.

(FATAL) - Nur Meldungen über Ereignisse, die die Funktion SLMBC (nahezu) unmöglich machen, werden zur Aufzeich- nung an die Empfänger weitergereicht.

EVG_NONE - Keine Meldung wird an die Empfänger weiter- gereicht.

49

fileName

1

Benennt die Datei, in der die Ereignismeldungen eingetragen werden sollen.

Tabelle 7: Parameter des XML-Elements <evgLogging>

2.1.5 Element <weakProcessBoundEnvironment>

Mit dem Element <weakProcessBoundEnvironment> wird die Art der Prozessbindung konfigu- riert (siehe Kapitel 3.1.1.3 „Funktion F1Sign“).

01

<weakProcessBoundEnvironment>true</weakProcessBoundEnvironment>

Zeile

 

XML-Tag

Level

Beschreibung

1

 

weakProcessBoundEnvironment

1

Durch den Parameterwert „true“ wird die schwache Prozessbindung, durch den Parameterwert „false“ wird die starke Prozessbindung aktiviert.

Tabelle 8: Parameter des XML-Elements <weakProcessBoundEnvironment>

AuthentiDate SLM Base Component

V3.0

2.1.6 Element <knownAttributeOid>

Benutzer- und Administrationshandbuch

Mit dem Elementen <knownAttributeOid> werden die OIDs (Object Identifier) definiert, mit de- nen die Eigenschaften der Attribute eines Zertifikates beschrieben werden. Dieses Element kann mehrfach vorkommen.

01

<knownAttributeOid>

 

02

<oid>0.2.262.1.10.7.52</oid>

03

<name>LiabilityText</name>

04

<restriction>true</restriction>

05

</knownAttributeOid>

 

Zeile

XML-Tag

Level

Beschreibung

2

oid

2

Benennt die OID, den Schlüssel des Attributstyps.

3

name

2

Bezeichnet den Attributtyp.

4

restriction

2

Bestimmt, ob das Attribut beschränkender oder erweiternder Art ist.

Tabelle 9: Parameter des XML-Elements <knownAttributeOid>

2.1.7 Element <authenticationPolicies>

Mit dem Element <authenticationPolicies> werden einerseits die maximalen Wiederholungsver- suche zur Authentisierung und Autorisierung festgelegt, andererseits die Anforderungen an die Passworte für die Benutzerauthentifikation. Letzteres betrifft sowohl die HTTP-Authentifikation, als auch die Benutzerauthentifikation für die Funktionen F1 und F2.

01

<authenticationPolicies>

 

02

<maxTryLimit>

03

<maxTryLimitForAuthentication>3</maxTryLimitForAuthentication>

04

<maxTryLimitForInformation>5</maxTryLimitForInformation>

05

<maxTryLimitForAuthorization>3</maxTryLimitForAuthorization>

06

</maxTryLimit>

07

<passwordPolicy>

 

08

<requiredPasswordLength>10</requiredPasswordLength>

09

<requiredDigitNumbers>3</requiredDigitNumbers>

10

<requiredSpecialChars>2</requiredSpecialChars>

11

<requiredUniqueChars>5</requiredUniqueChars>

12

</passwordPolicy>

 

13

</authenticationPolicies>

Zeile

XML-Tag

Level

Beschreibung

3

maxTryLimitFo-

2

Bei entsprechend häufiger Anzahl fehlerhafter Authentifikations- versuche des Benutzers lässt SLMBC keine weitere Anmeldung des Benutzers zu.

rAuthentication

4

maxTryLimitFo-

2

Bei entsprechend häufiger Anzahl fehlerhafter Autorisierungsver- suche des Benutzers für die Funktion F9 lässt SLMBC keine wei- tere Anmeldung des Benutzers zu.

rInformation

5

maxTryLimitFo-

2

Bei entsprechend häufiger Anzahl fehlerhafter Autorisierungsver- suche des Benutzers lässt SLMBC keine weitere Anmeldung des Benutzers zu. Dies ist der Fall, wenn der Benutzer zwar bekannt ist, aber für die gewählte Funktion nicht zugelassen ist.

rAuthorization

8

requiredPass-

2

Länge der Passworte für die HTTP-Authentifikation und die Be- nutzerauthentifikation für F1 und F2.

wordLength

9

requiredDigit-

2

Anzahl der Ziffern im Passwort.

Numbers

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

10

requiredSpecial-

2

Anzahl der Sonderzeichen im Passwort.

Chars

11

requiredUnique-

2

Anzahl der Buchstaben im Passwort.

Chars

Tabelle 10: Parameter des XML-Elements <authenticationPolicies>

2.1.8 Element <license>

Mit dem Element <license> wird der Pfad zu den zum Betrieb des SLMBC erforderlichen Li- zenzdateien festgelegt.

01

<license>

 

02

<licenseFile>config/license.xml</licenseFile>

03

<counterFile>config/counter.xml</counterFile>

04

</license>

 

Zeile

XML-Tag

Level

Beschreibung

2

licenseFile

1

Gibt den Dateinamen der Lizenzdatei an. Diese Datei wird nur lesend benutzt.

3

counterFile

1

Gibt den Dateinamen der Zähldatei an. Diese Datei wird lesend und schreibend benutzt.

Tabelle 11: Parameter des XML-Elements <license>

2.1.9 Element <xmlProtocolHandlerPool>

Das Element <xmlProtocolHandlerPool> besteht aus den Einstellungen für die Anzahl der vor- gefertigten XML-Parserobjekte, den Zugangsüberprüfungen der einzelnen Funktionen (Element <accessAA>) und den <implementationMap>-Elementen, die die einzelnen Funktionen darstel- len. Details, die über die unten genannte Information hinausgehen, sind in den XML-Schema- dateien zu finden; die Elemente dürfen nicht verändert werden.

01

<xmlProtocolHandlerPool>

 

02

<numHandlers>10</numHandlers>

03

<xmlConverterPool>

 

04

<numberOfInstances>10</numberOfInstances>

05

<namespacePrefixMapperClassName>

06

de.authentidate.sir.NamespacePrefixMapperImpl

07

</namespacePrefixMapperClassName>

08

<contextName>

09

de.authentidate.xml.ns.datastruct.slmbc.functions</contextName>

10

</xmlConverterPool>

 

11

<xmlProtocolHandler>

12

<maxRequestSize>102400</maxRequestSize>

13

Zeile

XML-Tag

Level

Beschreibung

2

numHandlers

3

Bestimmt die Anzahl der nach außen sichtbaren Schnittstellen- Threads.

4

numberOfInstances

3

Bestimmt die Anzahl der XML-Parserobjekte. Sollte immer grö- ßer oder gleich der Anzahl der Schnittstellen (Zeile 2) sein.

12

maxRequestSize

3

Benennt die maximale Größe der Anfrage in Bytes für den Zugriff

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

     

auf die SLMBC-Schnittstelle.

Tabelle 12: Parameter des XML-Elements <xmlProtocolHandlerPool>

Das Element <xmlProtocolHandlerPool> ist hier noch nicht beendet, sondern wird in den nächs- ten Abschnitten weiter beschrieben.

2.1.9.1 Element <accessAA>

Das Element <accessAA> steuert die Zugriffskontrolle der Benutzer auf die einzelnen Funktio- nen der SLMBC-Schnittstelle.

Die hier konfigurierten User (Benutzer) erhalten Zugriff auf die konfigurierten Funktionen der SLMBC-Schnittstelle. Bei einem Aufruf der Schnittstelle wird der Benutzer (Software- Applikation) gegenüber SLMBC mittels Basic Authentication des HTTP-Requests authentifiziert. Dabei werden der übergebene Benutzername und sein Passwort mit den hier konfigurierten Werten verglichen. Nur bei Identität beider Werte führt SLMBC die Funktion im Namen des Be- nutzers aus (siehe Kapitel 2.3 „Nebenkonfiguration Benutzer“). Das Kennwort wird während der Kommunikation durch das SSL-Protokoll geschützt.

01

<accessAA>

02

<userAAServiceDef id="accessUaa">

03

<memoryUserAAService>

04

<userAAData>

05

<userId>User01</userId>

06

<secretFingerprint>

07

<hashAlgo>SHA-1</hashAlgo>

08

<hashValue>vQaWv3QA0oXH/t3wYlmYynqPDe8=</hashValue>

09

</secretFingerprint>

10

11

<authorization>

12

<thing>F1</thing>

13

<limit> - </limit>

14

</authorization>

15

16

<authorization>

17

<thing>F2</thing>

18

<limit> - </limit>

19

</authorization>

20

Zeile

XML-Tag

Level

Beschreibung

05

userId

1

Benutzername im HTTP-Request Objekt

07

hashAlgo

1

Name des verwendeten Hash-Algorithmus

08

hashValue

1

Hashwert des Passwortes

12

thing

1

Kurzbezeichnung der Funktion

Tabelle 13: Parameter des XML-Elements <accessAA>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

2.1.9.2 Element <implementationMap> F1SignRequest

Das Element <implementationMap> beinhaltet das Element <signingRequestHandlerConfig>, mit der die Funktion F1SignReqest konfiguriert wird.

01

<signingRequestHandlerConfig>

02

<maxSignRetries>2</maxSignRetries>

03

<retryTimeoutMillis>7000</retryTimeoutMillis>

04

<activationMode>onRequest</activationMode>

05

<supportedSignAlgo>SHA1withRSA</supportedSignAlgo>

06

<supportedSignAlgo>RIPEMD160withRSA</supportedSignAlgo>

07

<signServiceTemplateFileName>

08

signServiceTemplate.xml</signServiceTemplateFileName>

09

10

<signingOpLimitations>

11

<activationPeriod>0</activationPeriod>

12

<signatureOpLimitDuringActivationPeriod>

13

0</signatureOpLimitDuringActivationPeriod>

14

</signingOpLimitations>

15

16

<timestampAccess>

17

<contentTimestampSource includeTimestampAsDefault="false">

18

<timestampAccount>

19

<timestampAccountRef>

20

<timestampAccountDefId>tsa01</timestampAccountDefId>

21

</timestampAccountRef>

22

</timestampAccount>

23

<preferredDigestAlgorithm>

24

<digestAlgorithmNameOrOid>SHA-1</digestAlgorithmNameOrOid>

25

</preferredDigestAlgorithm>

26

<requestRetryLimit>3</requestRetryLimit>

27

</contentTimestampSource>

28

<signatureTimestampSource includeTimestampAsDefault="false">

29

<timestampAccount>

30

<timestampAccountRef>

31

<timestampAccountDefId>tsa02</timestampAccountDefId>

32

</timestampAccountRef>

33

</timestampAccount>

34

<preferredDigestAlgorithm>

35

<digestAlgorithmNameOrOid>SHA-1</digestAlgorithmNameOrOid>

36

</preferredDigestAlgorithm>

37

<requestRetryLimit>3</requestRetryLimit>

38

</signatureTimestampSource>

39

</timestampAccess>

40

41

<dynamicConfig>

42

<content>

43

<uriStoredData>file:config/token.xml</uriStoredData>

44

</content>

45

<confirmationSubDir>confirmed</confirmationSubDir>

46

<certPathCertsSubDir>ca-and-root-certs</certPathCertsSubDir>

47

<userAFileName>user.xml</userAFileName>

48

<reconfigPeriod>

49

<metronomeFactoryName>

50

general metronome factory</metronomeFactoryName>

51

<threadName>ConfigWatchdog</threadName>

52

<periodMillis>15000</periodMillis>

53

</reconfigPeriod>

54

<tokenJobWorkerPeriod>

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

55

<metronomeFactoryName>

 

56

general metronome factory</metronomeFactoryName>

57

<threadName>TokenJobManager/Worker</threadName>

58

<periodMillis>650</periodMillis>

59

</tokenJobWorkerPeriod>

 

60

<terminalInitMessage>Geraet gefunden</terminalInitMessage>

61

</dynamicConfig>

62

63

<commonGroupConfig>

64

<unmappedSignerFoundMessage>

 

65

: Signaturkarte ist keiner Gruppe zugeordnet

66

</unmappedSignerFoundMessage>

67

<groupIdDigestAlgo>

 

68

<algorithmName>SHA-1</algorithmName>

69

<requestedSecurityProvider>BC</requestedSecurityProvider>

70

</groupIdDigestAlgo>

 

71

</commonGroupConfig>

72

73

<ocfConfig>

74

<property>

75

<key>OpenCard.services</key>

76

<value>de.telesec.opencard.tcos20.

77

service.TCOS2CardServiceFactory</value>

78

</property>

79

<property>

80

<key>KOBIL.baudrate</key>

 

81

<value>57600</value>

82

</property> <property> <key>OpenCard.trace</key> <value>opencard:5 de:5 com:5</value> </property> <property> <key>OpenCard.trace.eventsOnly</key> <value>true</value> </property> </ocfConfig> </signingRequestHandlerConfig>

83

84

85

86

87

88

89

90

91

92

Zeile

XML-Tag

Level

Beschreibung

2

maxSignRetries

1

Mit der Einstellung wird die Anzahl der Versuche bestimmt, falls bei der Signaturerstellung ein temporärer Fehler auf- trat.

3

retryTimeoutMillis

1

Mit der Einstellung wird die Zeitspanne zwischen zwei Ver- suchen in Millisekunden angegeben.

4

activationMode

1

Mit der Einstellung wird bestimmt, wann die PIN-Eingabe für eine Signaturkarte abgefragt wird. Bei der Einstellung „onRequest“ wird die PIN-Eingabe nach jeder Auftragserstellung aktiviert. Bei der Einstellung „immediately“ wird die PIN-Eingabe direkt nach der Erkennung einer Karte im Kartenleser akti- viert. Dies kann nur bei der starken Prozessbindung genutzt werden.

5

supportedSignAlgo

1

Mit der Einstellung werden die von SLMBC unterstützten Signatur-Algorithmen angeben, entweder als OID oder als Java-Name des Algorithmus. Zu beachten ist, dass nur Algorithmen angegeben werden sollten, die auch von Sig- naturkarten verwendet werden können.

AuthentiDate SLM Base Component

V3.0

Benutzer- und Administrationshandbuch

Zeile

XML-Tag

Level

Beschreibung

     

Bitte beachten Sie: Bei der Integration des SLMBC als technische Komponente für Zertifizierungsdienste müssen diese Hinweise vom Hersteller der Anwendung („Integra- tor“) an die Endbenutzer dieser Anwendung weitergegeben werden.

11

activationPeriod

2

Mit der Einstellung wird die Zeit pro Kartenaktivierung ein- gestellt. D.h. nach Aktivierung einer Signaturkarte bleibt diese maximal n Sekunden frei geschaltet.

12

signatureOpLimitDuring

2

Mit der Einstellung wird die Anzahl der Signaturen pro Kar- tenaktivierung eingestellt. D.h. nach Aktivierung einer Sig- naturkarte bleibt diese maximal n Signaturen lang frei ge- schaltet.

ActivationPeriod

17

contentTimestamp

1

Wird diese Einstellung auf „true“ gesetzt, so wird der zu signierende Inhalt mit einem Zeitstempel versehen und als signiertes Attribut in die Signatur eingebettet.

Source

20

timestampAccount

1

Dies ist eine Referenz auf ein Zeitstempel-Element (siehe Kapitel 2.1.2 „Element <clientNetworkAccessParameter>“), das für die Zeitstempelanfrage genutzt werden soll.

DefId

24

digestAlgorithmName

1

Mit der Einstellung wird der Algorithmus für die Zeitstem- pelanfrage festgelegt.

OrOid

26

requestRetryLimit

1

Mit der Einstellung wird die Anzahl der Wiederholungen für die Zeitstempelanfrage eingestellt.

28

signatureTimestamp

1

Wird diese Einstellung auf „true“ gesetzt, wird der signierte Inhalt mit einem Zeitstempel versehen und als unsigniertes Attribut in die Signatur eingebettet.

Source

31

timestampAccount

1

Dies ist eine Referenz auf ein Zeitstempel-Element (siehe Kapitel 2.1.2 „Element <clientNetworkAccessParameter>“), das für die Zeitstempelanfrage genutzt werden soll.

DefId

35

digestAlgorithmName

1

Mit der Einstellung wird der Algorithmus für die Zeitstem- pelanfrage festgelegt.

OrOid

37

requestRetryLimit

1

Mit der Einstellung wird die Anzahl der Wiederholungen für die Zeitstempelanfrage eingestellt.

43

uriStoredData

3

Mit der Einstellung wird die Nebenkonfigurationsdatei für die Kartenleser angegeben. Im selben Verzeichnis müssen sich auch die Konfigurationen für die Gruppen befinden.

45

confirmationSubDir

3

Mit der Einstellung wird das Unterverzeichnis benannt, in das Änderungen der Nebenkonfigurationsdateien protokol- liert werden.

46

certPathCertsSubDir

3

Mit der Einstellung wird das Unterverzeichnis pro Gruppe benannt, in dem die CA- und Root-Zertifikate der jeweiligen Gruppe abgelegt werden.

47

userAFileName

3

Mit der Einstellung wird die Nebenkonfigurationsdatei pro Gruppe benannt, in der die Benutzer definiert werden, die auf diese Gruppe zugreifen können.

52

periodMillis

2

Mit der Einstellung wird die Zeitspanne in Millisekunden angegeben, nach der die Konfigurationsdatei neu eingele- sen wird.

60

terminalInitMessage

1

Mit der Einstellung wird der Text angegeben, der nach der Erkennung eines Kartenlesers auf dessen Display ausge- geben wird.

64

unmappedSignerFound

1

Mit der Einstellung wird der Text angegeben, der auf dem