Beiträge von zchris

    Wenn ich das mit einem Server teste bekomme ich die sourceID aus dem SAML Artifact (wie von Ihnen beschrieben).


    Sobald ich jedoch zwei Server hinter den Reverse Proxy haenge habe ich folgendes Verhalten:


    node 1:

    Code
    1. [27/Feb/2014:15:59:11 +0100] "POST /moa-id-auth/VerifyIdentityLink?MOASessionID=-8633405189193979490 HTTP/1.1" 307 9460


    node 2:

    Code
    1. [27/Feb/2014:15:59:20 +0100] "POST /moa-id-auth/VerifyAuthBlock?MOASessionID=-8633405189193979490 HTTP/1.1" 404 1011


    Fehler im MOA Log bei Node 2:

    Code
    1. ERROR | 27 15:59:20,780 | http-apr-8080-exec-3 | MOASessionID ist unbekannt (MOASessionID=-8633405189193979490)


    Der Reverse Proxy sollte den zweiten Request wohl zur gleichen Node weiterleiten - aber woran kann ich das erkennen? Ich finde hier keine sourceID.

    Danke fuer die rasche Antwort! Ich habe die Zertifikate nochmals installiert (im Trustprofile war es zumindest schon vorhanden), leider bleibt die Fehlermeldung aber gleich.


    Wenn ich zum Testen


    Code
    1. <cfg:EnableChecking>false</cfg:EnableChecking>


    setze funktioniert alles (aber eben ohne CRL check).

    Da sich unser Server hinter einem Proxy befindet der kein CRL erlaubt haben wir RevocationChecking auf OCSP gesetzt:


    Code
    1. <cfg:RevocationChecking>
    2. <cfg:EnableChecking>true</cfg:EnableChecking>
    3. <cfg:MaxRevocationAge>0</cfg:MaxRevocationAge>
    4. <cfg:ServiceOrder>
    5. <cfg:Service>OCSP</cfg:Service>
    6. </cfg:ServiceOrder>
    7. [..]
    8. </cfg:RevocationChecking>


    Lt. log sagt er auch "MSG=OCSP response successfully received", am Ende kommt dann aber "OCSP response not trusted thus setting revocation status to unknown".


    Wo kann der Fehler liegen?


    Auszug aus dem Log:


    In der MOA-ID history steht:



    Gibt es evt. eine kurze Beschreibung zur Verwendung dieser Funktionalitaet in Verbindung mit der Handy-Signatur?


    Ich habe den Parameter gesetzt. Beim Redirect zurueck zur OA haette ich die sourceID erwartet - dort bekomme ich aber weiterhin nur den SAMLArtifact.

    Zitat

    Um die Assertion zu prüfen, muss diese aus der MOA-ID Antwort entnommen werden und als eigene Datei via pruefung.signatur.rtr.at geprüft werden.


    OK, aber welcher Teil?


    Ich bekomme von MOA-ID (gekuerzt):



    Ich habe schon versucht verschiedene Teile (wie saml:Assertion) in ein eigenes XML zu geben (ohne die Formatierung zu aendern), der Test ist aber immer negativ.


    Gibt es evt. ein Sample XML?

    Ich versuche die von MOA-ID erzeugte saml:Assertion auf https://pruefung.signatur.rtr.at/ zu prüfen.


    Das Service erkennt die Zertifikate, gibt mir aber immer folgenden Fehler:

    Zitat

    Bei der Überprüfung des Hash-Werts zumindest einer Referenz der Signatur ist ein Fehler aufgetreten. Der Wert der Signatur wurde nicht überprüft.


    Das XML wird 1:1 von MOA-ID uebernommen. Was kann die Ursache sein?

    Wir wollen das Signieren von PDFs via Handy-Signatur in unserer Webapp ermöglichen.


    Der Prozess funktioniert, nur wird am Ende von

    Code
    1. https://www.handy-signatur.at/mobile/https-security-layer-request/response.aspx?sid=...

    ein Redirect auf _top durchgefuehrt (die iframe wird dadurch verlassen).


    Beim Login kann man das mit dem redirecttarget Parameter in template_handyBKU.html umgehen (damit die Single Page Application im Browser nicht verlassen wird).


    Wie kann man diesen Parameter in PDF-AS definieren?

    OK, danke fuer die Information!


    Ist es korrekt dass ich fuer den Test auch ein SSL Certificate benoetige?


    Ich habe es inzwischen (ueber http auf einer Cloud VM) installiert, bekomme aber wieder den gleichen Fehler.

    Ist es moeglich moa-id auf http://localhost:8080 zu testen?


    Da wir derzeit keinen tomcat im web rennen haben wollte ich die Konfiguration lokal testen.


    Lt. log startet es:


    Code
    1. INFO | 02 14:54:14,267 | moa.id.auth | main | MOA ID Authentisierung wurde erfolgreich gestartet


    Wenn ich aber mit "HANDY" das Login starte (http://localhost:8080/moa-id-auth/index.html) bekomme ich nach Tel/Pwd folgenden Fehler:


    XML
    1. <?xml version=&#39;1.0&#39; encoding=&#39;UTF-8&#39;?> <sl:ErrorResponse xmlns:sl=&#39;http://www.buergerkarte.at/namespaces/securitylayer/1.2#&#39;>
    2. <sl:ErrorCode>4126</sl:ErrorCode><sl:Info>Response of this command to user browser not allowed.</sl:Info></sl:ErrorResponse>


    Der Fehler 4126 ist leider nicht dokumentiert: http://www.buergerkarte.at/kon…rrorcodes/errorcodes.html