Porta di Dominio Manuale di Installazione e Configurazione

Transcript

1 Porta di Dominio Manuale di Installazione e Configurazione Versione 1.0 del 25/08/2009

2 Sommario 1 Introduzione Requisiti Software ORACLE DBMS PostgreSQL DBMS Gestore Eventi JBOSS MQ ACTIVE MQ Installazione e deploy Configurazione Database di configurazione PDDEDA Parametri di Configurazione HANDLER TRATTAMENTI Configurazione degli Handler con funzionalità di sicurezza Firma Digitale Token SAML non firmato Token SAML firmato Cifratura Parametri di configurazione della PDD EDA Monitoraggio Transazioni attive Storico transazioni Configurazione certificati Creazione di KeyStore Import di un certificato nel KeyStore Import di una Certification Authority nel KeyStore Configurazione Trasporto over HTTPS Configurare JBOSS in HTTPS v.1.0 del 25/08/2009 Pagina 2

3 IL CONTENUTO DEL PRESENTE DOCUMENTO PUÒ ESSERE RIPRODOTTO, IN TOTO O IN PARTE, PER TUTTI GLI SCOPI FUNZIONALI ALL ADESIONE AL SISTEMA SPICCA DI REGIONE CAMPANIA ED È ESCLUSO L UTILIZZO A FINI DI LUCRO. PER L UTILIZZO DI QUANTO DI SEGUITO RIPORTATO SI DOVRÀ, IN TUTTI I CASI, CITARE COME FONTE IL PRESENTE DOCUMENTO. v.1.0 del 25/08/2009 Pagina 3

4 1 Introduzione Questo documento descrive le procedure di installazione e configurazione della Porta di Dominio. Il medesimo è stato realizzato in collaborazione con Vitrociset S.p.a. in quanto ditta aggiudicataria dell appalto concorso per la realizzazione del Sistema Regionale per la Cooperazione Applicativa in Sicurezza della Regione Campania. 2 Requisiti Software I requisiti software necessari alla PDD sono: DBMS Oracle (e/o PostgreSQL) Application Server Jboss 4.0.x AXIS 1.4 Preparazione Base Dati 2.1 ORACLE DBMS La presente descrizione è basata sull utilizzo del DBMS ORACLE. C e da notare, però, che la PDD è stata testata anche con MySQL. Per poter essere utilizzata anche con MySQL è necessario però, effettuare alcune conversioni degli script SQL, non oggetto della presente guida 1. I passi da seguire per la preparazione della base dati sono: Procedura Manuale 1. Creazione di un utenza per la PDD (per es. PDD) 2. Caricare una qualunque shell per il caricamento di file di comandi SQL 3. Lanciare il file di script sql: load pdd db.sql presente nella directory %PDD_HOME%/sql/. Questo script crea il nuovo schema con tutte le tabelle, sequence, trigger... e crea l utenza PDDUSER/PDDUSER. Qualora si decida di creare un utenza differente, modificare i file: %PDD_SRC_DIR%/Software/sql/create_user.sql e %JBOSS_HOME%\server\default\deploy\PDDds.xml. 1 Nella stessa directory è presente un file batch che effettua la maggior parte delle conversioni tra ORACLE e MYSQL. Per poter funzionare, il file batch (build_mysql_data.bat) necessita di trovare nel path i comandi open source (stile unix) cat e sed gratuitamente scaricabili da internet all indirizzo: v.1.0 del 25/08/2009 Pagina 4

5 Procedura Automatica 1. Posizionarsi nella directory: %PDD_HOME%/sql e lanciare il batch: setupdb.bat. Lo script provvederà a creare l utenza PDDUSER/PDDUSER@ORCL e a lanciare lo script load db.sql. 2. Qualora il SID del database non sia ORCL, modificare il file %PDD_HOME%/Software/descriptor/db/PDD ds.xml opportunamente. 2.2 PostgreSQL DBMS La presente descrizione è basata sull utilizzo del DBMS PostgreSQL 8.1. I passi da seguire per la preparazione della base dati sono: Procedura Automatica 1. Posizionarsi nella directory: %PDD_HOME%/sql/postgres e lanciare il batch: setupdb.bat. Lo script provvederà a creare l utenza PDDUSER@PDD e a lanciare lo script di creazione della base dati PDD per PostgreSQL. Nota, che la password dell utenza PDDUSER della BaseDati PDD verrà chiesta in fase di creazione dall apposito script (setupdb.bat). 2. Qualora il DB_NAME del database non sia PDD, modificare il file %PDD_HOME%/Software/ sql/postgresql/setupdb.bat opportunamente: - Modificare la seguente riga createdb U pdduser pdd, dove pdduser è l utenza del DataBase e pdd è il DB_NAME della BaseDati. 3. Modificare la variabile DBHOST con il nome/indirizzo IP del db server v.1.0 del 25/08/2009 Pagina 5

6 2.3 Gestore Eventi Qualora fosse richiesto alla PDD di effettuare cooperazione applicativa secondo il paradigma Publish&Subscribe, risulta necessario installare/configurare un gestore eventi supportato dalla PDD. I gestori eventi attualmente supportati dalla PDD sono JBOSS MQ e ACTIVE MQ. Di seguito sono descritte le fasi di configurazione ed installazione. E da notare come la configurazione per JBOSS MQ risulti molto più semplice in quanto già presente nella distribuzione di JBOSS utilizzata dalla PDD JBOSS MQ Settare tramite il configuratore ( le seguenti variabili: MQ_ENGINE = JBOSS_MQ PS_ADAPTER_URI = Settare nel file build.properties nella directory %INSTALL_DIR%\build le seguenti proprietà: mq.version.dir = jboss_mq mq.engine = jboss_mq ACTIVE MQ Per la seguente configurazione è richiesto come requisito base ActiveMQ Version 4.0.x Copiare nella cartella di deploy della versione utilizzata di JBOSS il file activemq ra 4.0.rar presente nella directory %ACTIVE_MQ_INSTALL%\lib\optional Settare tramite il configuratore le seguenti variabili: MQ_ENGINE = ACTIVE_MQ PS_ADAPTER_URI = Settare nel file build.properties nella directory %INSTALL_DIR%\build le seguenti proprietà: mq.version.dir = active_mq mq.engine = active_mq v.1.0 del 25/08/2009 Pagina 6

7 Aggiungere al file di configurazione activemq.xml presente nella directory %ACTIVE_MQ_INSTALL%\conf la seguente riga indicata in grassetto: <bean class="org.springframework.beans.factory.config.propertyplaceholderconfigurer" /> <broker brokername="receiver1" usejmx="false"> <plugins> <! use JAAS to authenticate using the login.config file on the classpath to configure JAAS > <jaasauthenticationplugin configuration="activemq domain" /> <authorizationplugin> <map> <authorizationmap> <authorizationentries> <authorizationentry topic="topic.pddtopic" read="users" write="users,pull" admin="users" /> <authorizationentry topic="activemq.advisory.>" read="users" write="users" admin="users"/> </authorizationentries> </authorizationmap> </map> </authorizationplugin> </plugins> PERSISTENZA DEI MESSAGGI IN ACTIVEMQ CON IL DMBS DERBY Per default, ActiveMQ utilizza DERBY per la persistenza dei dati. Non è quindi necessario apportare alcuna modifica. In ogni caso, editare il file activemq.xml e verificare le seguenti righe: <persistenceadapter> v.1.0 del 25/08/2009 Pagina 7

8 <journaledjdbc datadirectory="../activemq- data"/> </persistenceadapter> journallogfiles="5" PERSISTENZA DEI MESSAGGI IN ACTIVEMQ CON IL DMBS POSTGRESQL Per gestire la persistenza dei messaggi è necessario creare un utenza e un database sotto PostgreSQL. Per default l utenza da creare è utente:activemq password:activemq ed il nome del database è activemq. Editare, in seguito, il file activemq.xml e aggiungere le seguenti righe: <persistenceadapter> <!-- <journaledjdbc journallogfiles="5" datadirectory="../activemqdata"/> --> <!-- To use a different datasource, use th following syntax : --> <journaledjdbc journallogfiles="5" datasource="#postgres-ds"/> </persistenceadapter> ed i parametri di connessione al database: <!-- Postgres DataSource Sample Setup --> <bean id="postgres-ds" class="org.postgresql.ds.pgpoolingdatasource"> <property name="servername" value="{hostserver}"/> <property name="databasename" value="activemq"/> <property name="portnumber" value="0"/> <property name="user" value="activemq"/> <property name="password" value="activemq"/> <property name="datasourcename" value="postgres"/> <property name="initialconnections" value="1"/> <property name="maxconnections" value="10"/> </bean> Nella directory %ACTIVE_MQ_INSTALL%\conf, se non esiste il file login.config crearlo. v.1.0 del 25/08/2009 Pagina 8

9 Editarlo e scrivere le seguenti righe: activemq domain { org.apache.activemq.jaas.propertiesloginmodule required debug=true org.apache.activemq.jaas.properties.user="users.properties" org.apache.activemq.jaas.properties.group="groups.properties"; }; Nella directory %ACTIVE_MQ_INSTALL%\conf, editare il file groups.properties e aggiungere i seguenti utenti: users=push,pull Nella directory %ACTIVE_MQ_INSTALL%\conf, editare il file users.properties e aggiungere i seguenti utenti: NB: la simbologia è da intendere USER=PASSWORD push=push pull=pull STARTUP Prima di lanciare JBOSS bisogna lanciare il Listener di ACTIVE MQ. Lanciare il seguente script: %ACTIVE_MQ_INSTALL%\bin\activemq.bat (.sh) Dopo sarà possibile lanciare lo startup di JBOSS nel modo canonico. v.1.0 del 25/08/2009 Pagina 9

10 3 Installazione e deploy I passi da seguire per installare la PDD sono i seguenti: - Estrarre jboss4.0.5.zip nella directory di installazione (Installazione JBoss). Viene creata la dir <directory di installazione>/jboss Settare la variabile di ambiente JBOSS_HOME con <directory di installazione>/jboss Settare la variabile di ambiente JBOSS_SERVER_NAME con il nome del server utilizzato (JBOSS_SERVER_NAME=default) - Posizionarsi nella directory %PDD_HOME%/build - ant 2 clean - ant all - ant axis_dist_install - ant install - Avviare JBoss ant deploy testare axis all'url: 2 ANT è richiesto per la sola installazione e compilazione. Supportata dalla versione ant in poi. v.1.0 del 25/08/2009 Pagina 10

11 4 Configurazione Gli elementi di configurazioni sono di seguito riportati. 4.1 Database di configurazione PDDEDA Questo documento descrive il DataBase di configurazione della Porta di Dominio EDA in fase di installazione. Gli elementi che compongono il DataBase sono i seguenti: PORTE HANDLER INVOKER LOGGER TRATTAMENTI PDD_CONFIG (Parametri di configurazione della Porta di Dominio EDA) COMPONENTI OBBLIGATORI PER IL CORRETTO START UP DELLA PDD EDA Porta Tipologia Profilo Invoker I_PS_PUBLISH APPLICATIVA SINCRONO INTEGRATION_MANAGER I _PS_SUBSCRIBE_PUSH APPLICATIVA SINCRONO INTEGRATION_MANAGER I _PS_SUBSCRIBE_PULL APPLICATIVA SINCRONO INTEGRATION_MANAGER I_PS_GETEVENT APPLICATIOVA SINCRONO INTEGRATION_MANAGER I_PORTA_DEL_GEN DELEGATA SINCRONO COOPERATION_MANAGER I _PS_CALLBACK APPLICATIVA SINCRONO INTEGRATION_MANAGER I _PORTA_DEL_ASINC_SIMM_GEN DELEGATA A SINCRONO_SIMM COOPERATION_MANAGER I _PORTA_APPL_ASINC_SIMM_GEN APPLICATIVA A SINCRONO_SIMM ASAP_INTEGRATION_MANAGER EPROXY_INIT_HANDLER EGOV_HANDLER VALIDATION_HANDLER com.enterpriseda.pdd.level1.handler.common.eproxyinithandler com.enterpriseda.pdd.level1.handler.common.egovhandler com.enterpriseda.pdd.level1.handler.common.validationhandler PDD_LOG org.apache.logger.logger v.1.0 del 25/08/2009 Pagina 11

12 4.2 Parametri di Configurazione PORTE Porta Tipologia Profilo Invoker S_SINCRONO APPLICATIVA SINCRONO INTEGRATION_MANAGER S_SINCRONO_DEL DELEGATA SINCRONO COOPERATION_MANAGER I_PS_PUBLISH APPLICATIVA SINCRONO INTEGRATION_MANAGER I _PS_SUBSCRIBE_PUSH APPLICATIVA SINCRONO INTEGRATION_MANAGER I _PS_SUBSCRIBE_PULL APPLICATIVA SINCRONO INTEGRATION_MANAGER I_PS_GETEVENT APPLICATIOVA SINCRONO INTEGRATION_MANAGER I_PORTA_DEL_GEN DELEGATA SINCRONO COOPERATION_MANAGER S _PS_GETEVENT_DEL DELEGATA SINCRONO COOPERATION_MANAGER I _PS_CALLBACK APPLICATIVA SINCRONO INTEGRATION_MANAGER S_ASINC_ASIM APPLICATIVA A SINCRONO ASAP_INTEGRATION_MANAGER S_ASINC_ASIM_DEL DELEGATA A SINCRONO COOPERATION_MANAGER S_ASINC_SIM APPLICATIVA A SINCRONO ASAP_INTEGRATION_MANAGER S_ASINC_SIM_DEL DELEGATA A SINCRONO COOPERATION_MANAGER Porta Tipologia Profilo Invoker S_PKCS7 APPLICATIVA SINCRONO INTEGRATION_MANAGER S_PKCS7_DEL DELEGATA SINCRONO COOPERATION_MANAGER v.1.0 del 25/08/2009 Pagina 12

13 Porta Tipologia Profilo Invoker I _PORTA_DEL_ASINC_SIMM_GEN DELEGATA A SINCRONO_SIMM COOPERATION_MANAGER I _PORTA_APPL_ASINC_SIMM_GEN APPLICATIVA A SINCRONO_SIMM ASAP_INTEGRATION_MANAGER NB: In neretto sono contrassegnati gli Handler OBBLIGATORI per il funzionamento dell PDD EDA DETTAGLIO PORTE S_SINCRONO wsdl operationna me endpoint contentmode RFU echo vice 2 e operationstyl RFU ode descrizionem 0 S_SINCRONO_DEL class patype descrizionemode com.enterpriseda.pdd.level2.pddportadelegatasincrona TIPO PA 0 v.1.0 del 25/08/2009 Pagina 13

14 pacode ALTRA PA contentmode 2 endpoint operationname patelematicaddr ess servizio.tipo ONO echo TIPO_SERVIZIO I_PS_PUBLISH e class operationnam endpoint contentmode com.enterpriseda.pdd.level2.pddportaapplicativasincr ona publish 2 operationstyle RFU Mode escrizione 0 false I_PS_SUBSCRIBE_PUSH v.1.0 del 25/08/2009 Pagina 14

15 e class operationnam endpoint contentmode com.enterpriseda.pdd.level2.pddportaapplicativasincr ona subscribepush 2 operationstyle RFU Mode escrizione 0 I_PS_SUBSCRIBE_PULL e class operationnam endpoint contentmode com.enterpriseda.pdd.level2.pddportaapplicativasincr ona subscribepull 2 operationstyle RFU Mode escrizione 0 false v.1.0 del 25/08/2009 Pagina 15

16 I_PS_GETEVENT e class operationnam contentmode com.enterpriseda.pdd.level2.pddportaapplicativasincr ona getevent 2 operationstyle RFU Mode escrizione 0 false endpoint S_PS_GETEVENT_DEL patype escrizione Mode patelematicaddr ess operationname PA_TYPE 0 getevent contentmode 2 class com.enterpriseda.pdd.level2.pddportadelegatasincrona v.1.0 del 25/08/2009 Pagina 16

17 endpoint servizio.tipo VENT TIPO_SERVIZIO I_PS_CALLBACK e yle class contentmod operationst endpoint com.enterpriseda.pdd.level2.pddportaapplicativasincr ona 2 RFU me operationna putevent I_PORTA_GEN_DEL patelematicaddress contentmode 2 patype operationname class PA TO_SET com.enterpriseda.pdd.level2.pddportadelegatasincrona descrizionemode 0 endpoint v.1.0 del 25/08/2009 Pagina 17

18 pacode servizio.tipo PA TIPO_SERVIZIO S_ASINC_ASIM class wsdl operationname servizio.operazione.richiesta.suc cessiva endpoint com.enterpriseda.pdd.level2.pddportaapplicativaasincronaasi mmetrica RFU sum checksum contentmode 2 operationstyle asap.factory.actor.uri asap.instance.actor.uri RFU uri:factory uri:instance descrizionemode 0 S_ASINC_ASIM_DEL class com.enterpriseda.pdd.level2.pddportadelegataasincronaasimmetrica patype Pubblica Amministrazione v.1.0 del 25/08/2009 Pagina 18

19 patelematicaddress pacode PDD Regione Lazio contentmode 2 endpoint operationname sum descrizionemode 0 ResultDataType <complextype name="resultdatatype"> <sequence> <element name="sum" type="xsd:string"/> </sequence> </complextype> <complextype name="contextdatatype"> <sequence> <element ContextDataType servizio.tipo name="x" type="int"/> <element name="y" type="int"/> </sequence> </complextype> TIPO_SERVIZIO S_ASINC_SIM class wsdl operationname endpoint com.enterpriseda.pdd.level2.pddportaapplicativaasincronasimmet rica RFU TO_FILL TO_FILL contentmode 2 operationstyle RFU v.1.0 del 25/08/2009 Pagina 19

20 uri asap.factory.actor. uri:factory.uri asap.instance.actor uri:instance descrizionemode 0 back isportaapplicativacall servizio.nome true Nome_servizio S_ASINC_SIM_DEL endpoint TO_FILL operationname TO_FILL descrizionemode 0 class com.enterpriseda.pdd.level2.pddportadelegataasincronasimmetrica patype TO_FILL patelematicaddr TO_FILL pacode TO_FILL contentmode 2 servizio.tipo TIPO_SERVIZIO S_PKCS7 v.1.0 del 25/08/2009 Pagina 20

21 class wsdl operationna me endpoint contentmode com.enterpriseda.pdd.level2.pddportaapplicativasincr ona RFU uploadfile 2 e operationstyl RFU descrizionem ode pkcs7.apply.cr ypt 0 true gn n n pkcs7.apply.si x509.apply.sig x509.verify.sig true true false S_PKCS7_DEL class com.enterpriseda.pdd.level2.pddportadelegatasincrona v.1.0 del 25/08/2009 Pagina 21

22 patype descrizionemode TIPO PA 0 ess patelematicaddr pacode ALTRA PA contentmode 2 t endpoint operationname pkcs7.apply.cryp pkcs7.apply.sign CS7 uploadfile true true x509.apply.sign x509.verify.sign servizio.tipo true true TIPO_SERVIZIO patype pacode I_PORTA_DEL_ASINC_ASIMM_GEN Toset Toset operationname toset v.1.0 del 25/08/2009 Pagina 22

23 patelematicaddress class com.enterpriseda.pdd.level2.pddportaapplicativasincrona I_PORTA_DEL_ASINC_ASIMM_GEN asap.factory.actor.uri asap.instance.actor.uri operationname endpoint class uri:toactoruri uri:toactoruri toset com.enterpriseda.pdd.level2.pddportaapplicativasincrona v.1.0 del 25/08/2009 Pagina 23

24 4.3 HANDLER Handler Classe EPROXY_INIT_HANDLER com.enterpriseda.pdd.level1.handler.common.eproxyinithandler EGOV_HANDLER com.enterpriseda.pdd.level1.handler.common.egovhandler VALIDATION_HANDLER com.enterpriseda.pdd.level1.handler.common.validationhandler11 PKCS7_HANDLER com.enterpriseda.pdd.level1.handler.security.pkcs7handler EnvelopeLoggerHandler WSDOALLSENDER_HANDLER WSDOALLRECEIVER_HANDLER com.enterpriseda.pdd.level1.handler.common.envelopeloggerhandler org.apache.ws.axis.security.wsdoallsender org.apache.ws.axis.security.wsdoallreceiver NB: In neretto sono contrassegnati gli Handler OBBLIGATORI per il funzionamento dell PDD EDA DETTAGLIO HANDLER EPROXY_INIT_HANDLER ass cl dler com.enterpriseda.pdd.level1.handler.common.eproxyinithan EGOV_HANDLER v.1.0 del 25/08/2009 Pagina 24

25 class dler com.enterpriseda.pdd.level1.handler.common.egovhan ass cl er11 VALIDATION_HANDLER com.enterpriseda.pdd.level1.handler.common.validationhandl ENVELOPE_LOGGER_HANDLER ass cl dler com.enterpriseda.pdd.level1.handler.common.envelopeloggerhan PKCS7_HANDLER ass cl dler com.enterpriseda.pdd.level1.handler.security.pkcs7han WS_DO_ALL_SENDER ass cl nder org.apache.ws.axis.security.wsdoallse ass cl iver WS_DO_ALL_RECEIVER org.apache.ws.axis.security.wsdoallrece v.1.0 del 25/08/2009 Pagina 25

26 v.1.0 del 25/08/2009 Pagina 26

27 INVOKER Invoker INTEGRATION_MANAGER COOPERATION_MANAGER Classe com.enterpriseda.pdd.invoker.integrationinvokerimpl com.enterpriseda.pdd.invoker.cooperationinvokerimpl ASAPIntegrationManager com.enterpriseda.pdd.invoker.asapintegrationinvokerimpl PDD_LOG log4j.additivity.pdd log4j.appender.pddfile.datepattern log4j.appender.pddfile.layout log4j.appender.pddfile.layout.convers ionpattern log4j.appender.pddfile.file log4j.appender.pddfile log4j.appender.pddjms.datepattern log4j.appender.pddjms.layout log4j.appender.pddjms.layout.conver sionpattern log4j.appender.pddjms log4j.appender.pddjms.errorhandler FALSE yyyy MM dd org.apache.log4j.patternlayout %d{dd MM yyyy HH:mm:ss} %p [%C{1} %M] %m%n /home/pdd/pdd/logs/pdd.log org.apache.log4j.dailyrollingfileappender yyyy MM dd org.apache.log4j.patternlayout %d{dd MM yyyy HH:mm:ss} %p [%C{1} %M] %m%n com.enterpriseda.spicca.sensoreterminale.appender.jms.jmsapp ender com.enterpriseda.spicca.sensoreterminale.appender.handler.fail v.1.0 del 25/08/2009 Pagina 27

28 overerrorhandler log4j.appender.pddjms.errorhandler.l ogger ref.ref log4j.appender.pddjms.errorhandler. appender ref.ref log4j.appender.backup.threshold log4j.appender.backup log4j.appender.pddjms.threshold log4j.appender.pddjms.queueconnec tionfactorybindingname log4j.appender.pddjms.initialcontext FactoryName log4j.appender.pddjms.providerurl log4j.appender.pddjms.username log4j.appender.pddjms.password log4j.appender.pddjms.queuebinding Name log4j.appender.pddjms.locationinfo log4j.appender.backup.path log4j.appender.backup.basenomefile pdd BACKUP DEBUG com.enterpriseda.spicca.sensoreterminale.appender.file.logginge ventfileappender DEBUG ConnectionFactory org.apache.activemq.jndi.activemqinitialcontextfactory tcp:// :61616 pdd pdd queue.pddqueue true /tmp/ BackupProvaLog log4j.logger.pdd INFO, pddfile v.1.0 del 25/08/2009 Pagina 28

29 4.4 TRATTAMENTI In questa sezione si affronterà la configurazione delle proprietà dei singoli trattamenti associabili ad una Porta. Di seguito un esempio di configurazione dei due Handler delegati alla Sicurezza (WsDoAllSender, WsDoAllReceiver). WsDoAllSender Dettaglio passwordcallbackclass org.apache.ws.security.crypto.merlin.keys tore.password action org.apache.ws.security.crypto.provider org.apache.ws.security.crypto.merlin.keys tore.type user signaturekeyidentifier org.apache.ws.security.crypto.merlin.file com.enterpriseda.pdd.level1.wsutils.passwordcallback security Signature Timestamp org.apache.ws.security.components.crypto.merlin jks wss4jcertdsa DirectReference /home/pdd/pdd/security/keystore/wss4j.keystore WsDoAllReceiver Dettaglio passwordcallbackclass org.apache.ws.security.crypto.merlin.key store.password action com.enterpriseda.pdd.level1.wsutils.passwordcallback security Signature Timestamp v.1.0 del 25/08/2009 Pagina 29

30 org.apache.ws.security.crypto.provider org.apache.ws.security.crypto.merlin.key store.type org.apache.ws.security.crypto.merlin.file org.apache.ws.security.components.crypto.merlin jks c:/pdd/security/keystore/wss4j.keystore S_SINCRONO ( Porta Applicativa con profilo di comunicazione Sincrono ) NO S_SINCRO WsDoAllSender Server nse Respo Disabilitato S_SINCRO NO wsdoallreceiver Server st Reque Disabilitato S_SINCRO NO Validation Server st Reque Abilitato S_SINCRO NO PKCS7Handler Server st Reque Disabilitato NO S_SINCRO PKCS7Handler Server nse Respo Disabilitato S_SINCRONO_DEL ( Porta Delegata con profilo di comunicazione Sincrono ) DEL S_SINCRONO_ WsDoAllSender Client est Requ Disabilitato S_SINCRONO_ DEL wsdoallreceiver Client Resp onse Disabilitato S_SINCRONO_ DEL Validation Client Resp onse Abilitato v.1.0 del 25/08/2009 Pagina 30

31 S_SINCRONO_ DEL EGovHandler Client est Requ Abilitato S_SINCRONO_ DEL PKCS7Handler Client est Requ Disabilitato DEL S_SINCRONO_ PKCS7Handler Client onse Resp Disabilitato I_PS_PUBLISH ISH S_PS_PUBL Validation Client onse Resp Abilitato ISH S_PS_PUBL EGovHandler Client est Requ Abilitato I_PS_SUBSCRIBE_PUSH S_PS_SUBSCRIBE_P Validatio C Resp Abilit USH n lient onse ato S_PS_SUBSCRIBE_P EGovHa C Requ Abilit USH ndler lient est ato I_PS_SUBSCRIBE_PULL S_PS_SUBSCRIBE_P Validatio C Resp Abilit ULL n lient onse ato S_PS_SUBSCRIBE_P EGovHa C Requ Abilit ULL ndler lient est ato v.1.0 del 25/08/2009 Pagina 31

32 I_PS_GETEVENT_DEL S_PS_GETEVENT_ Validatio C Resp Abilit DEL n lient onse ato S_PS_GETEVENT_ EGovHa C Requ Abilit DEL ndler lient est ato I_PS_GETEVENT S_PS_GETEVENT Validation Server uest Req Abilitato I_PORTA_DEL_GEN I_PORTA_DEL_ Validatio C Resp Abilit GEN n lient onse ato I_PORTA_DEL_ EGovHa C Requ Abilit GEN ndler lient est ato I_PORTA_DEL_ASINC_SIMM_GEN I_PORTA_DEL_ASINC_SIMM_ Validatio C Resp Abilit GEN n lient onse ato I_PORTA_DEL_ASINC_SIMM_ EGovHa C Requ Abilit GEN ndler lient est ato v.1.0 del 25/08/2009 Pagina 32

33 S_ASINC_SIMM_DEL S_ASINC_SIMM_DEL n Validatio lient C onse Resp ato Abilit S_ASINC_SIMM_DEL ndler EGovHa lient C est Requ ato Abilit S_PS_CALLBACK S_PS_CALLABCK n Validatio rver Se est Requ ato Abilit S_PS_CALLBACK ndler EGovHa rver Se est Requ ato Abilit 4.5 Configurazione degli Handler con funzionalità di sicurezza In questa sezione descriveremo le procedure necessarie alla configurazione delle funzionalità di sicurezza della PDD, realizzate attraverso una personalizzazione dell'implementazione open suorce WSS4j delle specifiche Web Service Security. Le diverse funzionalità di sicurezza sono implementate da due Handler, WSDoAllSender e WsDoAllReceiver, che vanno opportunamente configurati nella porta di dominio. L'handler WsDoAllSender è da utilizzare nei messaggi in uscita dalla Porta di Dominio (Contesto Client/Flusso Request e Contesto Server/Flusso Response), mentre l'handler WsDoAllReceiver è da utilizzare nei messagi in entrata nella Porta di Dominio (Contesto Client/Flusso Response e Contesto Server/Flusso Request). Relativamente al corretto posizionamento degli Handler nel chain handlers, ovvero nella catena di handler che elabora un messaggio in transito da e verso la PDD, si osservi che l'handerl WsDoAllSender deve essere sempre l'ultimo handler che elabora un messaggio in uscita dalla PDD, mentre l'handler WsDoAllReceiver deve essere sempre il primo handler che elabora un messaggio in ingresso alla PDD. Prima di descrivere nel dettaglio le procedure per la configurazione degli handler di sicurezza, è opportuno sottolineare che WSS4j, come è naturale immaginare, è basata su un infrastruttura di sicurezza a chiave pubblica. Per un agevole gestione delle chiavi private/pubbliche e dei certificati digitali, WSS4j fa uso dei Keystore, che rappresentano Repository (protetti da password) per la memorizzazione ed il recupero di chiavi e certificati. A partire dalla versione 1.2, JDK fornisce un utility, denominata keytool, per la gestione dei Keystore che consente di effettuare operazioni quali, a titolo esemplificativo, la creazione v.1.0 del 25/08/2009 Pagina 33

34 di una coppia chiave privata/pubblica, l import ed export di chiavi, l import di certificati rilasciati da Certification Authority e così via. Nella parte finale di questo documento è previsto un paragrafo relativo alle funzionalità offerte dal keytool. Configurazione WSDoAllSender e WsDoAllReceiver Le funzionalità di sicurezza implementate nella PDD sono le seguenti: firma digitale, token SAML. Per ogni funzionalità, mostreremo come configurare opportunamente gli handler WSDoAllSender e WsDoAllReceiver rispettivamente per una porta delegata ed una porta applicativa. Il contesto che prenderemo di riferimento è quello di una porta delegata sincrona (denominata S_SINCRONO_DEL) che invoca una porta applicativa (denominata S_SINCRONO). In questo contesto, a valle delle osservazioni riportate in precedenza in merito al corretto posizionamento degli Handler, configureremo l handler WSDoAllSender per i messaggi in uscita dalla PDD delegata (Contesto Client / Flusso Request) e l handler WsDoAllReceiver per i messaggi in ingresso alla PDD applicativa (Contesto Server / Flusso Request) Firma Digitale Configurazione dell Handler WSDoAllSender per la PDD delegata (Contesto Client / Flusso Request) v.1.0 del 25/08/2009 Pagina 34

35 Descrizione dei parametri dell Handler passwordcallbackclass = com.enterpriseda.pdd.level1.wsutils.passwordcallback: il parametro si riferisce ad una classe contenente un insieme di coppie (user, pwduser). Nel caso della firma digitale, user è l'identificativo, nell'ambito del keystore della chiave privata con cui firmare il messaggio e pwduser è la pwd della chiave privata identificata da user. org.apache.ws.security.crypto.merlin.keystore.password" = "security": è la password del keystore org.apache.ws.security.crypto.merlin.file = c://pdd//security//keystore//wss4j.keystore: è il file del keystore action = Signature Timestamp: è il parametro che determina l'azione effettuata dagli handler WSS. In particolare specificando Signature Timestamp l handler applicherà una firma digitale ed un timestemp al messaggio in uscita org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.merli: è la classe del motore di cifratura utilizzato org.apache.ws.security.crypto.merlin.keystore.type = jks: è il tipo di keystore v.1.0 del 25/08/2009 Pagina 35

36 user =wss4jcertdsa: è l'identificativo della chiave privata, nell'ambito del keystore, da utilizzare per la firma signaturekeyidentifier=directreference v.1.0 del 25/08/2009 Pagina 36

37 Configurazione dell Handler WsDoAllReceiver per la PDD Applicativa (Contesto Server / Flusso Request) Descrizione dei parametri dell Handler action = Signature Timestamp: è il parametro che determina l'azione effettuata dagli handler WSS. In particolare specificando Signature Timestamp l handler verificherà la firma digitale ed il timestemp del messaggio ricevuto org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.merli: è la classe del motore di cifratura utilizzato org.apache.ws.security.crypto.merlin.keystore.type = jks: è il tipo di keystore org.apache.ws.security.crypto.merlin.file = c://pdd//security//keystore//wss4j.keystore: è il file del keystore org.apache.ws.security.crypto.merlin.keystore.password" = "security": è la password del keystore v.1.0 del 25/08/2009 Pagina 37

38 4.5.2 Token SAML non firmato Configurazione dell Handler WSDoAllSender per la PDD delegata (Contesto Client / Flusso Request) Descrizione dei parametri dell Handler org.apache.ws.security.saml.issuerclass = org.apache.ws.security.saml.samlissuerimpl: è la classe che genera l asserzione SAML org.apache.ws.security.saml.issuer = PDDASLNA1 : è l ISSUER dell asserzione SAML. org.apache.ws.security.saml.authenticationmethod = password : è il meccanismo d autenticazione utilizzato dal Subject dell asserzione SAML org.apache.ws.security.saml.confirmationmethod = sendervouches : è il metodo di utilizzato per la verifica del contenuto dell Asserzone SAML. Sender Vouches indica che l Issuer si fa da garante per la verifica del Subject. Il ricevitore dell asserzione SAML, che ha stabilito una relazione di fiducia con l Issuer, si fida di quanto affermato dal Issuer. v.1.0 del 25/08/2009 Pagina 38

39 org.apache.ws.security.saml.subjectnameid.name: è l identificativo del Subject nell ambito di un dominio. action = SAMLTokenUnsigned: è il parametro che determina l'azione effettuata dagli handler WSS. In particolare specificando SAMLTokenUnsigned genererà un Token SAML non firmato Configurazione dell Handler WsDoAllReceiver per la PDD Applicativa (Contesto Server / Flusso Request) Descrizione dei parametri dell Handler action SAMLTokenUnsigned: è il parametro che determina l'azione effettuata dagli handler WSS. In particolare specificando SAMLTokenUnsigned l Handler verificherà l esistenza di un Token SAML non firmato nel messaggio ricevuto v.1.0 del 25/08/2009 Pagina 39