Beiträge von kstranacher

Hallo,

Alles klar - das Problem ist etwas tiefergehend:
Die CA-Zertifikate der A-Trust bieten die Widerrufsprüfung nur via CRL an. OCSP wird nur für Enduser-Zertifikate unterstützt. Das Problem ist nun, dass Sie nur OCSP ermöglichen und MOA-SP daher den Status der CA-Zertifikate nicht feststellen kann. Abhilfen gibt es zwei:

1.) CRL-Prüfung über den Proxy erlauben, wobei ich nicht weiß ob das bei Ihnen möglich ist bzw. mit welchem Aufwand es verbunden ist.

2.) Sie müssen allen Intermediate-CA Zertifikaten direkt vertrauen, d.h. sie müssen diese dem entsprechenden Vertrauensprofil hinzufügen. Meines Wissens nach müssen Sie auch das OCSP-Responder in das Vertrauensprofil geben, da diese auch nur CRL unterstützt. Das "Problem" bei dieser Variante ist jedoch, dass sobald es eine neues Intermediate-CA Zertifikat gibt, diese wieder dem Vertrauensprofil hinzugefügt werden muss (beim OCSP Responder Zertifikat ist das Problem wohl geringer, da dieses ja erst kürzlich ausgetauscht wurde und daher noch länger eingesetzt wird).

MfG

Hallo,

Verzeihen Sie - ich hab fälschlicherweise angenommen, dass bei Ihnen das Problem im Zuge einer MOA-ID Anmeldung aufgetreten ist - darum mein Kommentar zu Personenbindungs-Vertrauensprofil.

Das Problem dürfte aber wohl auf die gleiche Ursache zurückzuführen sein. D.h. sie müssten das bzw. die betroffenen Vertrauensprofile ihrer MOA-SP-Installation updaten. Der oben angeführte Link enthält auch die Update-Beschreibung für eine alleinige Installation von MOA-SP.

MfG

Hallo,

Ich vermute, dass das Personenbindungs-Vertrauensprofil der dahinterliegenden MOA-SP Instanz nicht aktuell ist. Die A-Trust verwendet seit Oktober ein neues OCSP-Signer Zertifikat. Leider befindet sich dieses Zertifikat in einer anderen Zertifikatshierarchie, wodurch das Vertrauensprofil aktualisiert werden muss.

Die Vorgehensweise finden Sie unter folgendem Link beschrieben: https://joinup.ec.europa.eu/so…s-ocsp-dienstes-der-trust

Die entsprechend einzuspielenden Zertifikate finden Sie unter: https://joinup.ec.europa.eu/si…ult/files/Zertifikate.zip

Ich hoffe, dass sich hiermit ihr Problem beheben lässt.

MfG

ad 1.)
Ja der Betrieb von MOA-IDSPSS und MOCCA in einem Tomcat sollte problemlos möglich sein.

ad 2. und 3.)
Derzeit sind die Pre-Releases von MOCCA (1.3.6) und MOA-IDSPSS (1.5.1) veröffentlicht. Die finalen Versionen sollten noch im November veröffentlicht werden.

lg

Hallo,

Sie haben Recht. Die beiden Trustprofile sollten ident sein (MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten ist dabei das richtige). Es handelt sich dabei um einen Fehler in der Standard-Beispiel-Konfiguration MOA-SP. In der nächsten Release wird dieser Fehler behoben.

Vielen Dank für das Aufmerksammachen!

lg