SecCommerce SecSigner

Inhaltsübersicht:
1. Allgemein
2. Support
3. Lizenzbedingungen RMO Store
4. Bestellung / Download / Installation / Updates
5. Signieren mit dem SecSigner / Besonderheiten Fernsignatur
6. Mögliche Fehlerquellen / Fehlermeldungen

1. Allgemein


Der SecSigner von der Firma SecCommerce ist eine Signatursoftware zur Erstellung von qualifizierten elektronischen Signaturen (qeS).

Voraussetzung zur Nutzung ist ein Kartenleser und eine Signaturkarte.

Der SecSigner unterstützt in der "normalen" Version Signaturkarten mit auf der Karte gespeichertem Signaturzertifikat und in einer "speziellen" Edition zusätzlich auch Signaturkarten mit Fernsignatur. Weitere Informationen siehe Neue beA-Karten / Fernsignatur.

In RA-MICRO wird eine installierte SecSigner Software im Postausgang und im beA Postausgang sowie im Modul Notariat unterstützt.

Für die Nutzung im beA Postausgang muss in den Einstellungen E-Workflow > 4 Postausgang > 4.08 Signaturprogramm beA Postausgang die Option Extern eingestellt sein.

RA-MICRO Kunden können die "spezielle" Edition der SecSigner Signatursoftware (geeignet für Fernsignatur) im RA-MICRO Online Store (RMO Store) lizenzieren.

Weitere Informationen:

2. Support


2.1 Logdateien


Der SecSigner speichert Logdateien im Verzeichnis: C:\Users\[Windows Benutzername]\.seccommerce\temp

2.2 Versionsänderungen


Eine Liste der SecSigner Versionsänderungen kann der Seite SecCommerce Changelog entnommen werden.

3. Lizenzbedingungen im RMO Store


Im RMO Store sind folgende Lizenzbedingungen genannt:

  • 5,00 € mtl. je Signaturkarten-Nutzer

Gemeint ist damit ("je Signaturkarten-Nutzer"):

  • Lizenziert werden muss für jeden Berufsträger, der mit der im RMO Store erworbenen SecSigner Version signiert
  • Unabhängig davon, ob der Berufsträger mit Fernsignatur oder mit auf der Karte gespeichertem Signaturzertifikat signiert
  • Unabhängig davon, wieviele Signaturkarten ein Berufsträger hat
  • Unabhängig davon, auf wievielen Arbeitsplätzen der SecSigner installiert ist

4. Bestellung / Download / Installation / Updates


Wenn Sie die Lizenzierung / Installation nicht selbst vornehmen möchten, können Sie sich an die RA-MICRO Vor-Ort-Partner oder an Ihren Systemadministrator wenden. Bitte haben Sie Verständnis dafür, dass der RA-MICRO Support nicht die Installation der SecSigner Signatursoftware übernehmen kann.

Die nachfolgenden Beschreibungen beziehen sich auf den SecSigner im RA-MICRO Online Store.

4.1 Lizenzierung / Bestellvorgang


Der SecSigner kann im RA-MICRO Online (RMO) Store bestellt und lizenziert werden.



Verlinkungen:


4.2 Download


Nach der Bestellung kann der SecSigner mit "über diesen Link starten" heruntergeladen werden.


Über diesen Link wird die jeweils aktuelle SecSigner Version bereitgestellt, so dass damit auch Updates heruntergeladen werden können (siehe unten 4.4).




4.3 Installation


Die Installation kann grundsätzlich durch den Anwender selbst vorgenommen werden.

Wenn Sie die Installation nicht selbst vornehmen möchten, können Sie sich an die RA-MICRO Vor-Ort-Partner oder an Ihren Systemadministrator wenden. Bitte haben Sie Verständnis dafür, dass der RA-MICRO Support nicht die Installation der SecSigner Signatursoftware übernehmen kann.







4.4 Updates


Der SecSigner wird in regelmäßigen Abständen aktualisiert und verbessert (siehe SecSigner Changelog).

Aktuell ist die SecSigner Version 7.38 BR.

Diese Updates müssen durch den Anwender manuell installiert werden, es gibt derzeit (noch) keinen Auto-Update Mechanismus.

Wurde der SecSigner im RA-MICRO Online (RMO) Store lizenziert, stehen die Updates im RMO Konto > Kanzleiverwaltung > Produkte zum Download bereit.



RA-MICRO Anwender, die den SecSigner im RMO Store lizenziert haben, werden von RA-MICRO per E-Mail über Updates informiert. 


5. Signieren mit dem SecSigner


Nachfolgend ist der Signaturvorgang mit der SecSigner Signatursoftware im beA Postausgang beschrieben.

5.1 Voraussetzungen


Ein ordnungsgemäß installierter Kartenleser mit aktuellen Treibern und aktueller Firmware.

Eine installierte SecSigner Signatursoftware auf dem Arbeitsplatz, auf dem signiert werden soll. Der SecSigner unterstützt in der "normalen" Version Signaturkarten mit auf der Karte gespeichertem Signaturzertifikat und in einer "speziellen" Edition zusätzlich auch Signaturkarten mit Fernsignatur. RA-MICRO Kunden können die "spezielle" Edition der SecSigner Signatursoftware (geeignet für Fernsignatur) im RA-MICRO Online Store (RMO Store) lizenzieren.

Eine Signaturkarte mit auf der Karte gespeichertem Signaturzertifikat oder eine Signaturkarte mit Fernsignatur. Weitere Informationen siehe Neue beA-Karten / Fernsignatur.

Für die Nutzung im beA Postausgang muss in den Einstellungen E-Workflow > 4 Postausgang > 4.08 Signaturprogramm beA Postausgang die Option Extern eingestellt sein.



Weitere Voraussetzungen bestehen nicht, insbesondere muss in RA-MICRO nichts hinterlegt werden.

5.2 Signaturvorgang im beA Postausgang


Die zu signierenden Nachrichten im beA Postausgang markieren (wenn keine Nachrichten markiert sind, ist die Signieren Schaltfläche deaktiviert).

Im beA Postausgang die Signieren Schaltfläche betätigen.



Über den Pfeil kann in dem sich ausklappenden Menü auch "Nur die als Schriftsatz markierten Anlagen signieren" gewählt werden.



Daraufhin öffnet sich die SecSigner Signatursoftware.

Signaturkarte in den Kartenleser einlegen und die Signaturkarte suchen Schaltfläche betätigen.



Hinweis: Auch bei Verwendung von Signaturkarten mit Fernsignatur muss die Signaturkarte physisch in den Kartenleser eingelegt sein. Ein Signieren mit Softwarezertifikaten o.ä. ist nicht möglich.

Daraufhin wird die Signaturkarte und das Signaturzertifikat angezeigt.



Die Weiter Schaltfläche betätigen.



Daraufhin wird eine Vorschau des zu signierenden Dokuments (der zu signierenden Dokumente) angezeigt.



Über die anzeigen Schaltfläche kann das zu signierende Dokument - bei Bedarf - vergrößert dargestellt werden. Andernfalls kann auch sogleich zum Signieren übergegangen werden.



Um das Dokument (die Dokumente) zu signieren, die Signieren Schaltfläche betätigen.



Daraufhin erfolgt die PIN-Abfrage für das Signatur-Zertifikat.

Hinweis: beA-Signaturkarten mit Fernsignatur verfügen nicht mehr über eine gesonderte Signatur-PIN. Die beA-PIN ist auch zugleich die Signatur-PIN für die Signierung. 

Die Signatur-PIN über den Kartenleser eingeben und auf dem Kartenleser bestätigen.



Nach der Eingabe der Signatur-PIN erfolgt der Signaturvorgang.

Mit der Schaltfläche bestätigen wird das signierte Dokument bestätigt und in die beA Nachricht übergeben.



Im beA Postausgang ist daraufhin in der beA Nachricht das signierte Dokument mit der zusätzlichen Signaturdatei (*.pkcs7) sichtbar.



5.3 Besonderheiten bei Signaturkarten mit Fernsignatur


Auch bei Verwendung von Signaturkarten mit Fernsignatur muss die Signaturkarte physisch in den Kartenleser eingelegt sein. Ein Signieren mit Softwarezertifikaten o.ä. ist nicht möglich.

Die Fernsignatur muss durch die BNotK freigeschaltet sein. Nachdem die Fernsignatur beantragt wurde, erhalten Sie von der BNotK eine Eingangsbestätigung per E-Mail und danach (in der Regel nach einigen Wochen) eine Benachrichtigung per E-Mail, wenn die Fernsignatur freigeschaltet wurde. Danach kann die Fernsignatur mit der neuen beA-Karte genutzt werden, ohne dass weitere Schritte erforderlich sind. Sofern eine Signatur mit der neuen beA-Karte in der beA Weboberfläche noch nicht möglich ist, ist die Fernsignatur durch die BNotK noch nicht freigeschaltet. 

Der SecSigner zeigt bis Version 7.26 bei Verwendung von Signaturkarten mit Fernsignatur vor der Signierung an "fortgeschrittene Signatur".




Dies ist kein Fehler, sondern eine Besonderheit bei der Nutzung von Signaturkarten mit Fernsignatur.

SecCommerce teilt dazu mit:

Um das Signaturzertifikat vom BNotK-Server abzurufen, benötigt man die Karten-PIN. An dieser Stelle wird die Karten-PIN aber noch nicht abgefragt, sondern erst nachfolgend im Signierungsprozess.

Deshalb wird an dieser Stelle das Authentifizierungszertifikat der Karte angezeigt . Dies ist nur fortgeschritten.

Ab der SecSigner Version 7.30 wird in diesem Dialog im Falle der BNotK-Fernsignaturkarte anzeigt: "Zertifikat für BNotK-Fernsignatur".


Wenn man die Signatur nach der Signierung prüft, wird "qualifizierte Signatur" angezeigt.




Ab SecSigner Version 7.30 wird bei Verwendung von Signaturkarten mit Fernsignatur angezeigt "Zertifikat für BNotK Fernsignatur".

 

6. Mögliche Fehlerquellen / Fehlermeldungen




6.1 Allgemeine Hinweise von SecCommerce


Wir möchten darauf hinweisen, dass die Signatur mit dem BNotK-Fernsignaturdienst nur möglich ist, wenn die entsprechende Internetverbindung vom SecSigner zur BNotK im Netzwerk des Anwenders erlaubt ist. Bitte signieren Sie vor der Bestellung testweise ein Dokument mit dem SecSigner mit Ihrer BNotK-Authentisierungskarte in Ihrem Netzwerk. Sollten sich dabei Verbindungsprobleme zeigen, kann nur Ihr Netzwerkadministrator diese lösen. Wir haben darauf keinen Einfluss und können auch nur sehr eingeschränkt Lösungshinweise geben, da unser Support sich auf den SecSigner bezieht, nicht jedoch auf Proxy, Firewall und ähnliches im Kundennetz.

Sollten Sie bei der Signatur die Meldung erhalten, dass die Liste der Zertifikate leer ist, dann hat die BNotK Ihre Authentisierungskarte noch nicht für die Fernsignatur freigeschaltet.


Sollten Sie die Meldung "401 unauthorized" erhalten, ist der BNotK-Fernsignaturdienst außer Betrieb.


6.2 Fehlermeldung "The array in the BNotK get-certificates response at ... is empty" oder "Fehler bei der Signatur des Dokuments: Die BNotK hat Ihren Fernsignaturzugang event. noch nicht aktiviert."


Beispiel Hinweismeldung:

Bis SecSigner Version 7.30


Ab SecSigner Version 7.31


Ursache:

Die Fehlermeldung deutet darauf hin, dass die Fernsignatur für die Karte durch die BNotK noch nicht freigeschaltet wurde.

Lösung:

Es ist zu prüfen, ob ein Signieren mit der beA Karte in der beA Weboberfläche möglich ist und ob der Karteninhaber von der Zertifizierungsstelle der BNotK bereits die Mitteilung über die Freischaltung der Fernsignatur für die beA Karte erhalten hat.

Hinweis des SecSigner Supports:

Inzwischen zeigt der SecSigner in diesen Fällen eine erweiterte Meldung an: "Die BNotK hat Ihren Fernsignaturzugang evtl. noch nicht aktiviert. Sie können es später erneut versuchen oder bei der BNotK nachfragen. Details: The 'array' in the BNotK get-certificates response at ..."

6.3 Fehlermeldung "Could not query the certificates at the BNotK key manager at... HTTP request error: 401 Unauthorized"


Beispiel Hinweismeldung:



Ursache:

Offenbar kann die SecSigner Software den Fernsignaturdienst der BNotK nicht erreichen.

Lösung:

Bitte wenden Sie sich an den Support der Zertifizierungsstelle der BNotK, denn der HTTP-Status 401 Unauthorized kommt (vermutlich) vom BNotK-Server.


6.4 Fehlermeldung "Could not send a message to the BNotK IdP at ... Malformed reply from SOCKS server"


Beispiel Hinweismeldung:




Ursache:

Offenbar lässt die Firewall keine Internetverbindung von der SecSigner Software zu dem Fernsignaturdienst der BNotK zu.


Lösung:

Bitte wenden Sie sich an Ihren Netzwerkadministrator zur Anpassung der Firewall Einstellungen.

Testweise könnte das Signieren an einem anderen Standort versucht werden (beispielsweise zuhause im dortigen Netzwerk statt im Büro). Falls dort das Signieren funktioniert, liegt es vermutlich an der Firewall im Netzwerk am Standort.

Hinweis des SecSigner Supports:

Wir möchten darauf hinweisen, dass die Signatur mit dem BNotK-Fernsignaturdienst nur möglich ist, wenn die entsprechende Internetverbindung vom SecSigner zur BNotK im Netzwerk des Anwenders erlaubt ist. Bitte signieren Sie (...) testweise ein Dokument mit dem SecSigner (...) in Ihrem Netzwerk. Sollten sich dabei Verbindungsprobleme zeigen, kann nur Ihr Netzwerkadministrator diese lösen. Wir haben darauf keinen Einfluss und können auch nur sehr eingeschränkt Lösungshinweise geben, da unser Support sich auf den SecSigner bezieht, nicht jedoch auf Proxy, Firewall und ähnliches im Kundennetz.


6.5 Fehlermeldung "Could not send a message to the BNotK IdP at ... Cannot open HTTPS socket: … TLS fatal alert: decrypt error"


Beispiel Hinweismeldung:




Ursache:

Offenbar lässt die Firewall keine Internetverbindung von der SecSigner Software zu dem Fernsignaturdienst der BNotK zu.


Lösung:

Bitte wenden Sie sich an Ihren Netzwerkadministrator zur Anpassung der Firewall Einstellungen.

Testweise könnte das Signieren an einem anderen Standort versucht werden (beispielsweise zuhause im dortigen Netzwerk statt im Büro). Falls dort das Signieren funktioniert, liegt es vermutlich an der Firewall im Netzwerk am Standort.

Hinweis des SecSigner Supports:

Wir möchten darauf hinweisen, dass die Signatur mit dem BNotK-Fernsignaturdienst nur möglich ist, wenn die entsprechende Internetverbindung vom SecSigner zur BNotK im Netzwerk des Anwenders erlaubt ist. Bitte signieren Sie (...) testweise ein Dokument mit dem SecSigner (...) in Ihrem Netzwerk. Sollten sich dabei Verbindungsprobleme zeigen, kann nur Ihr Netzwerkadministrator diese lösen. Wir haben darauf keinen Einfluss und können auch nur sehr eingeschränkt Lösungshinweise geben, da unser Support sich auf den SecSigner bezieht, nicht jedoch auf Proxy, Firewall und ähnliches im Kundennetz.


6.6 Fehlermeldung "Kartenleser und Signaturkarte konnten nicht erfolgreich initialisiert werden.: Java heap space"


Beispiel Hinweismeldung:




Ursache:

Für den Signaturvorgang steht zu wenig RAM Speicher für die Java-Umgebung zur Verfügung.

Lösung:

Es wäre zunächst zu prüfen, ob für die SecSigner Software ein Update bereitsteht. Ferner kann ebenso die Installation repariert werden.

Zudem wäre zu prüfen, ob für das in Verwendung befindliche Kartenlesegerät ein Treiber-Update und ein Firmware-Update bereitsteht.

Sollte die Meldung auch nach Reparatur / Update angezeigt werden, schließen Sie bitte nicht benötigte Programme bei Vornahme der Signatur (z.B. Internetbrowser, Office Programme).

6.7 Fehlermeldung "Kartenleser und Signaturkarte konnten nicht erfolgreich initialisiert werden.: Bitte kontaktieren Sie...um die SecSigner-Edition mit Unterstützung der BNotK-Fernsignatur zu erhalten."


Beispiel Hinweismeldung:



Ursache:

Es wird eine Signaturkarte mit Fernsignatur verwendet aber nicht die spezielle Edition der SecSigner Signatursoftware, die für Fernsignatur geeignet ist.

Lösung:

Es ist die spezielle Edition der SecSigner Signatursoftware zu installieren, die für Fernsignatur geeignet ist.

RA-MICRO Kunden können die spezielle Edition der SecSigner Signatursoftware (geeignet für Fernsignatur) im RA-MICRO Online Store (RMO Store) lizenzieren.

Weitere Informationen siehe oben Punkt 4.

6.8 Fehlermeldung "BNotK extend ID token request at....failed: The HTTPS server's certificate is not acceptable..."


Beispiel Hinweismeldung:



Ursache:

Laut SecCommerce handelt es sich um ein Fehler in der SecSigner Version 7.30.

Lösung:

Es ist die SecSigner Version 7.31 zu installieren.

Informationen zum Update-Vorgang siehe oben 4.4

6.9 Fehlermeldung "Fehler bei der PIN-Prüfung oder Signatur: Nutzungsbedingungen sind nicht erfüllt; Verschlüsselungsalgorithmus"


Beispiel Hinweismeldung:



Ursache:

Laut SecCommerce wird diese Hinweismeldung angezeigt, wenn der Kartenleser nicht mit der Karte zurecht kommt.

Lösung:

Es muss geprüft werden, welcher Kartenleser und welche Karte zum Einsatz kommen.

Es sollte geprüft werden, ob die Treiber und die Firmware des Kartenlesers aktuell sind und ob eine Aktualisierung das Problem löst.

Es sollte geprüft werden, ob die aktuelle SecSigner Version installiert ist. Aktuell ist die Version 7.31. Informationen zum Update-Vorgang siehe oben 4.4

6.10 Fehlermeldung: "Could not sent a message to the BNotK IdP at...Nutzungsbedingungen sind nicht erfüllt; Verschlüsselungsalgorithmus Status 614"


Beispiel Hinweismeldung:



Ursache:

Laut SecCommerce wird diese Hinweismeldung angezeigt, wenn der Kartenleser nicht mit der Karte zurecht kommt.

Lösung:

Es muss geprüft werden, welcher Kartenleser und welche Karte zum Einsatz kommen.

Es sollte geprüft werden, ob die Treiber und die Firmware des Kartenlesers aktuell sind und ob eine Aktualisierung das Problem löst.

Es sollte geprüft werden, ob die aktuelle SecSigner Version installiert ist. Aktuell ist die Version 7.31. Informationen zum Update-Vorgang siehe oben 4.4