...

CRA logger til filen cra.log

Oprydning

Der ryddes ud kan foretages løbende oprydning i historikken af revokerede certifikater, som findes i en given spærreliste, og hvis de ikke længere fremgår, så fjernes de.

Oprydning kan aktiveres vha. af værdien cleanActivated på certificateRevocationAuthority (Se schedule.xml)af driften ved at kalde oprydningsjobbet.

Der er oprettet 4 forskellige oprydninger, som kan aktiveres og vil blive udført, hvis cleanActivated er aktiveretjobbet aktiveres:

• cleanIfRootExpiredActivated
  Hvis et rodcertifikatet fra certificateRevocationSources (Se bootstap.xml) er udløbet, så findes id fra crl tabellen vha. certifikatets url (Se Endpoints), og bruges til at slette rækker fra revoked vha. crlid (Se Revokeringer).
  Hvis der er et tilhørende intermediatecertifikat, så slettes det også på samme måde, som for rodcertifikatet.
• cleanIfIntermediateExpiredActivated
  Hvis ikke rodcertifikatet er udløbet, så checkes det om intermediatecertifikat er udløbet. Hvis det er udløbet, så slettes det på samme måde, som beskrevet for rodcertifikat.
• cleanIfGhostUrlActivated
  Hvis ikke rod- eller intermediatecertifikatet er expired. Så finder vi alle aktive url'er (både for rod- og intermediatecertifikater) fra certificateRevocationSources (Se Endpoints). Oplysninger tilknyttet certifikater som findes i cachen, men som ikke er aktive, slettes fra crl og revoked tabellen.
• cleanIfGhostSerialNumberActivated
  Hvis ikke rod- eller intermediatecertifikatet er expired. Hvis listen af revoked serialnumber (Se Revokeringer) indeholder værdier, der ikke kan findes i  den aktive liste af serialnumbers, så slettes de fra databasen.

...

cra/cra-app/target/cra.war
compose/configuration/cra/bootstrap.xml
compose/configuration/cra/config.xml
compose/configuration/cra/schedule.xml
compose/configuration/cra/seal.xml
compose/configuration/cra/services.xml
compose/configuration/cra-ds.xml
compose/configuration/database/drop-create-db.sql
compose/configuration/log4j-cra.xml
compose/configuration/log4j-nspslalog-cra.properties
compose/configuration/nspslalog-cra.properties

...

compose/configuration/cra/bootstrap.xml
compose/configuration/cra/config.xml
compose/configuration/cra/schedule.xml
compose/configuration/cra/seal.xml
compose/configuration/cra/services.xml

...

Inden CRA kan deployes skal konfigurationsfilerne opdateres til at afspejle den del af certifikatinfrastrukturen man ønsker af monitorer.

...

seal.xml

Opdaterings- og oprydningsintervallet for CRA defineres i filen schedule.xml.

I leverancen er værdien for opdatering sat til 1800000 millisekunder, hvilket er 30 min. Hvis en anden værdi ønskes så er det attributten fixed-delay der skal opdateres.
Der er også indført  en initiel-delay på 60000 (1 min) millisekunder, så databasen kan nå at blive tilgængelig under opstart før cra-servicen prøver at tilgå den.

I leverancen er værdien for oprydning sat til at starte 120000 (2 minutter) millisekunder efter applikationen er startet og derefter scheduleres oprydningen til 60000 millisekunder (1 minut).

<task:scheduled-tasks scheduler="scheduler">
	<!--  Execute  dk.nsi.nsp.cra.CertificateRevocationAuthorityImpl.update -->
	<!--  initial-delay: milliseconds until first run (1 minutes)-->
    <!--  fixed-delay: 30 minutes-->
    <task:scheduled ref="certificateRevocationAuthority" method="update" initial-delay="60000" fixed-delay="1800000"/>

    <!--  Execute  dk.nsi.nsp.cra.CertificateRevocationCleanUpImpl.cleanup -->
    <!--  initial-delay: milliseconds until first run (2 minutes)-->
    <!--  fixed-delay: milliseconds until next run from completion of previous run (1 min)-->
   	<task:scheduled ref="certificateRevocationCleanUp" method="cleanup" initial-delay="120000" fixed-delay="60000"/>
</task:scheduled-tasks>

<task:scheduler id="scheduler" pool-size="1"/>

Vær opmærksom på at værdien af denne attribut har konsekvenser for værdien af konfigurationsparameteren ttl i SecurityValve og SecurityHandler. Se dokumentationen til disse tools for en udregning.

seal.xml

Seal føderationen skal konfigureres alt efter om der er tale om et Seal føderationen skal konfigureres alt efter om der er tale om et test eller et produktionsmiljø. Attributten class på federation elementet skal have værdien dk.sosi.seal.pki.SOSITestFederation i et testmiljøcertificateRevocationAuthority og dk.sosi.seal.pki.SOSIFederation i et produktionsmiljø. Ydermere skal propertien sosi:issuer have en passende værdi alt efter miljø.

...

Hvis man ikke har et certifikat udstedt af den CA man ønsker at tilføje kan en RemoteCertificateRevocationSource konstrueres ved at angive URL’en til CA certificatet og URL’en til den CRL der er signeret af CA’en som de to første constructor-arg's. De to sidste argumenter skal altid være certificateStore og certificateResolver

For at aktivere en CRS tilføjes den til listen certificateRevocationSources.

Overvågning

Der er følgende muligheder for at overvåge CRA.

cra-servlet.xml

Der er defineret to endpoints i der giver følgende muligheder:

være certificateStore og certificateResolver

For at aktivere en CRS tilføjes den til listen certificateRevocationSources.

Overvågning

Der er følgende muligheder for at overvåge CRA.

cra-servlet.xml

Der er defineret følgende endpoints i der giver følgende muligheder:

Databasen

CRA har et relativt simpelt databaselayout bestående af to tabeller. En tabel med CRL endpoints og en tabel med revokerede certifikater.

...