Besonderheiten bei Nutzung der internen Signaturfunktion

Inhaltsübersicht:
1. Signieren mit der internen Signaturfunktion
1.1 In der RA-MICRO Benutzerverwaltung ist ein beA-Softwarezertifikat hinterlegt
1.2 In der RA-MICRO Benutzerverwaltung ist kein beA-Softwarezertifikat hinterlegt
2. Hinweise
2.1 Authentifizierung am beA System
2.2 Keine Authentifizierung am beA System mit abgelaufenen beA Karten
2.3 Interne Signatur unterstützt keine Fernsignatur
3. Fehlermeldungen
3.1 Fehlermeldung "Es wurde keine beA Karte selektiert."
3.2 Fehlermeldung "0904 - Der übergebene SAML Request war ungültig."
3.3 Fehlermeldung "Fehler beim Öffnen des Zertifikat-Cache."
3.4 Fehlermeldung "Client received SOAP Fault from server: java.lang.NullPointerException"

1. Signieren mit der internen Signaturfunktion


Nachfolgend ist der Signaturvorgang - das Erstellen einer qualifizierten elektronischen Signatur (qeS) - im beA Postausgang über die interne Signaturfunktion mit der beA Schnittstelle der BRAK (KSW-Schnittstelle / BRAK-Toolkit) beschrieben.

Die interne Signaturfunktion kann eingestellt werden in den Einstellungen E-Workflow > 4 Postausgang > 4.08 Signaturprogramm beA Postausgang > Intern.

Der Vorgang unterscheidet sich vom Ablauf je nachdem, ob in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat für die Authentifizierung am beA Systems hinterlegt ist oder nicht.

Zu den aktuellen Signatur-Möglichkeiten in RA-MICRO: Neue beA-Karten / Fernsignatur

1.1 In der RA-MICRO Benutzerverwaltung ist ein beA-Softwarezertifikat hinterlegt


Sofern in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat hinterlegt ist, erfolgt die Authentifizierung am beA System automatisch mit dem beA-Softwarezertifikat.

Nach Betätigen der "Signatur" Schaltfläche im beA Postausgang wird das Fenster "QES-Zertifikat für die Signatur auswählen" angezeigt.

Hier ist die bisherige beA-Karte mit Signatur (möglich bis 31.12.2022) oder eine separate Signaturkarte mit auf der Karte gespeichertem Signaturzertifikat in den Kartenleser einzulegen und auszuwählen. Die bisherigen beA-Karten mit auf der Karte gespeicherten Signaturzertifikaten werden laut Information der BRAK bis zum 31.12.2022 weiterhin für die Signaturfunktion unterstützt, selbst wenn die bisherige beA-Karte für die Anmeldung am beA System nicht mehr gültig oder abgelaufen ist.



Nach Betätigen der "OK" Schaltfläche muss 1x die Signatur-PIN eingegeben werden und der Signaturvorgang wird durchgeführt.

Wird eine neue beA-Karten mit Fernsignatur verwendet, wird in dem Fenster "Keine geeignete Signaturkarte gefunden." angezeigt, da die beA-Schnittstelle der BRAK (KSW-Schnittstelle / BRAK-Toolkit) keine Fernsignatur unterstützt.



Zu den aktuellen Signatur-Möglichkeiten in RA-MICRO: Neue beA-Karten / Fernsignatur

1.2 In der RA-MICRO Benutzerverwaltung ist kein beA-Softwarezertifikat hinterlegt


Sofern in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat nicht hinterlegt ist, erfolgt die Authentifizierung am beA-System nicht automatisch und es wird zunächst das "Sicherheits-Token auswählen" Fenster angezeigt und erst danach nach erfolgreicher Authentifizierung das "QES-Zertifikat für die Signatur auswählen" Fenster angezeigt.

Nach Betätigen der "Signatur" Schaltfläche im beA Postausgang wird für die Authentifizierung am beA-System das "Sicherheits-Token auswählen" Fenster angezeigt.

Hier ist die neue beA-Karte in den Kartenleser einzulegen und auszuwählen und für die Authentifizierung wird 2x die Authentifizierungs-PIN abgefragt. Sofern in dem Fenster auch andere Sicherheits-Token angezeigt werden, können auch diese alternativ verwendet werden.



Nach erfolgreicher Authentifizierung am beA System wird das Fenster "QES-Zertifikat für die Signatur auswählen" angezeigt.

Solange die neue beA-Karte mit Fernsignatur (oder noch keine Karte) in dem Kartenleser eingelegt ist, wird in diesem Fenster "Keine geeignete Signaturkarte gefunden." angezeigt.



Hier ist die neue beA-Karte aus dem Kartenleser zu entfernen und die bisherige beA-Karte mit Signatur oder eine separate Signaturkarte mit auf der Karte gespeichertem Signaturzertifikat in den Kartenleser einzulegen und auszuwählen. Die bisherigen beA-Karten mit auf der Karte gespeicherten Signaturzertifikaten werden laut Information der BRAK bis zum 31.12.2022 weiterhin für die Signaturfunktion unterstützt, selbst wenn die bisherige beA-Karte für die Anmeldung am beA System nicht mehr gültig oder abgelaufen ist.



Nach Betätigen der "OK" Schaltfläche muss 1x die Signatur-PIN der bisherigen beA-Karte eingegeben werden und der Signaturvorgang wird durchgeführt.

2. Hinweise


2.1 Authentifizierung am beA System


Bei Verwendung der internen Signaturfunktion über die beA-Schnittstelle der BRAK (KSW-Schnittstelle / BRAK-Toolkit) ist für die Nutzung der Signaturfunktion eine Authentifizierung am beA System erforderlich.

Sofern in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat hinterlegt ist, erfolgt die Authentifizierung am beA System automatisch mit dem beA-Softwarezertifikat und es wird sogleich das "QES-Zertifikat für die Signatur auswählen" Fenster angezeigt.

Sofern in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat nicht hinterlegt ist, erfolgt die Authentifizierung am beA-System nicht automatisch und es wird zunächst das "Sicherheits-Token auswählen" Fenster angezeigt und erst danach nach erfolgreicher Authentifizierung das "QES-Zertifikat für die Signatur auswählen" Fenster angezeigt.

2.2 Keine Authentifizierung am beA System mit abgelaufenen beA Karten


Eine Authentifizierung mit der bisherigen beA-Karte ist nicht möglich, wenn diese abgelaufen ist und keine Gültigkeit mehr hat.

In dem "Sicherheits-Token auswählen" Fenster wird die abgelaufene und ungültige beA-Karte rot angezeigt und kann nicht für die Authentifizierung am beA System ausgewählt werden.



2.3 Interne Signatur unterstützt keine Fernsignatur


Die Verwendung der neuen beA-Karten mit Fernsignatur für die interne Signatur ist nicht möglich, da die beA-Schnittstelle der BRAK (KSW-Schnittstelle / BRAK-Toolkit) keine Fernsignatur unterstützt und nach derzeitigem Stand laut Information der BRAK auch zukünftig keine Fernsignatur unterstützen wird.

In dem "QES-Zertifikat für die Signatur auswählen" Fenster wird die neue beA-Karte mit Fernsignatur nicht erkannt und es wird "Keine geeignete Signaturkarte gefunden." angezeigt.



Zu den aktuellen Signatur-Möglichkeiten in RA-MICRO: Neue beA-Karten / Fernsignatur

3. Fehlermeldungen

3.1 Fehlermeldung "Es wurde keine Signaturkarte selektiert"


Wird das "QES-Zertifikat für die Signatur auswählen" Fenster abgebrochen und geschlossen, wird eine Fehlermeldung "Es wurde keine Signaturkarte selektiert." angezeigt:


Ursache: Das "QES-Zertifikat für die Signatur auswählen" Fenster wurde abgebrochen und geschlossen.

Dies kann beispielsweise (aber nicht nur) der Fall sein, wenn versucht wurde mit einer neuen beA-Karte mit Fernsignatur zu signieren (siehe oben 2.3) und das "QES-Zertifikat für die Signatur auswählen" Fenster daraufhin abgebrochen und geschlossen wurde. 

Lösung: Bei der internen Signatur über die beA-Schnittstelle der BRAK (KSW-Schnittstelle / BRAK-Toolkit) ist eine Signaturkarte mit auf der Karte gespeichertem Signaturzertifikat zu verwenden (da Signaturkarten mit Fernsignatur von der internen Signaturfunktion nicht unterstützt werden). Falls eine beA-Karte mit Fernsignatur zum Signieren eingesetzt werden soll, ist die externe Signaturfunktion mit der externen Signatursoftware SecCommerce SecSigner zu verwenden.

Zu den aktuellen Signatur-Möglichkeiten in RA-MICRO: Neue beA-Karten / Fernsignatur

3.2 Fehlermeldung "0904 - Der übergebene SAML Request war ungültig."


Ist in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat hinterlegt, das entweder nicht mehr gültig ist oder das in dem beA Postfach nicht mehr als Sicherheits-Token hinterlegt ist, wird eine Fehlermeldung "0904 - Der übergebene SAML Request war ungültig." angezeigt:



Ursache: Für die Authentifizierung am beA System wird ein beA-Softwarezertifikat verwendet, das in dem betreffenden beA Postfach nicht als Sicherheits-Token hinterlegt ist.

Dies kann beispielsweise (aber nicht nur) der Fall sein, wenn ein beA Postfach durch die BRAK zurückgesetzt wurde und eine erneute Erstregistrierung erfolgen musste, wodurch alle bisherigen Sicherheits-Token (insbesondere beA-Softwarezertifikate) in dem beA Postfach ebenfalls automatisch entfernt wurden und erneut hinterlegt und freigeschaltet werden müssen. Ebenso müssen in der Benutzerverwaltung in dem betroffenen beA Postfach alle bisherigen Benutzer, die für das Postfach berechtigt waren, neu hinterlegt und berechtigt werden.

Lösung: In der RA-MICRO Benutzerverwaltung ist zu prüfen, ob beA-Softwarezertifikate hinterlegt sind, die nicht als Sicherheits-Token in beA Postfächern hinterlegt sind und ob diese beA-Softwarezertifikate erneut in den jeweiligen beA Postfächern als Sicherheits-Token interlegt und freigeschaltet werden müssen.

3.3 Fehlermeldung "Fehler beim Öffnen des Zertifikat-Cache."


Ist in der RA-MICRO Benutzerverwaltung ein beA-Softwarezertifikat mit einem falschen Passwort hinterlegt, wird eine Fehlermeldung "Fehler beim Öffnen des Zertifikat-Cache." angezeigt:



Lösung: In der RA-MICRO Benutzerverwaltung das beA-Softwarezertifikat mit dem korrekten Passwort hinterlegen. Wichtig: Es ist das Passwort zu verwenden, das bei der Erstellung des beA-Softwarezertifikats vergeben wurde. Es ist nicht die PIN zu verwenden, mit der das beA-Softwarezertifikat in der beA-Client-Security hinterlegt wurde.

3.4 Fehlermeldung "Client received SOAP Fault from server: java.lang.NullPointerException"


Wird das "Sicherheits-Token auswählen" Fenster abgebrochen und geschlossen oder wird in dem "Sicherheits-Token auswählen" Fenster eine beA-Karte / ein beA-Softwarezertifikat zur Authentifizierung verwendet, ohne dass diese als Sicherheits-Token in dem beA Postfach freigeschaltet sind, wird eine Fehlermeldung "Client received SOAP Fault from server: java.lang.NullPointerException." angezeigt:



Ursache: Die Authentifizierung am beA System schlägt fehl, weil in dem "Sicherheits-Token auswählen" Fenster eine der 3 nachfolgenden Fälle auftritt:

Fall 1: In dem "Sicherheits-Token auswählen" Fenster wird eine beA-Karte verwendet, die nicht als Sicherheits-Token im beA Postfach hinterlegt ist (typischerweise wird in diesen Fällen 3x die Authentifizierungs-PIN abgefragt und anschließend die Fehlermeldung angezeigt, normalerweise wird nur 2x die Authentifizierungs-PIN abgefragt)

Fall 2: in dem "Sicherheits-Token auswählen" Fenster wird ein beA-Softwarezertifikat verwendet, das nicht als Sicherheits-Token im beA Postfach hinterlegt ist (typischerweise wird in diesen Fällen 3x die Authentifizierungs-PIN abgefragt und anschließend die Fehlermeldung angezeigt, normalerweise wird nur 2x die Authentifizierungs-PIN abgefragt)

Fall 3: Das "Sicherheits-Token auswählen" Fenster wird abgebrochen und geschlossen, bevor die Authentifizierung abgeschlossen wurde.

Lösung: Die in dem "Sicherheits-Token auswählen" Fenster verwendete beA-Karte oder das in dem "Sicherheits-Token auswählen" Fenster verwendete beA-Softwarezertifikat muss als Sicherheits-Token in dem beA Postfach freigeschaltet sein. Das "Sicherheits-Token auswählen" Fenster darf nicht abgebrochen oder geschlossen werden, bevor die Authentifizierung am beA System abgeschlossen ist.