• - Die Initialisierung der Signatur-PIN führt beim neuen Personalausweis zum Löschen des privaten Signaturschlüssels! D.h. es zerstört das Signaturzertifikat!
• - Im nächsten Update von SignLive! CC wird diese Funktion nicht mehr bereitgestellt werden.

nach unserer Erfahrung kann Adobe Reader nicht vollständig mit indirekten Sperrlisten (CRLs) umgehen. Dies führt dazu, dass die Überprüfung qualifizierter Zertifikate deutscher Trust Center nur eingeschränkt ermöglicht ist. 

Ein wenig zum Hintergrund:
CRLs lassen sich in direkte und indirekte CRLs unterscheiden. Charakteristisch für direkte CRLs ist, dass sowohl das zu prüfende Zertifikat als auch die Sperrliste vom selben Ausstellerzertifikat signiert wurden. Im Falle indirekter CRLs hingegen unterscheiden sich die Aussteller von Zertifikat und Sperrliste. Der Common PKI Standard sieht vor, dass in diesem Falle der CRL-Aussteller explizit im zu prüfenden Zertifikat benannt sein muss. Dies ist jedoch bei den Zertifikaten der Bundesnetzagentur und aller qualifizierten / akkreditierten Anbieter in Deutschland nicht gegeben, was – der Fehlermeldung "Aussteller der Zertifikatssperrliste weicht ab" (in Adobe Acrobat / Reader einzusehen) zufolge – zu einem Prüffehler bei Adobe führt.

Das von deutschen Anbietern praktizierte Ausgabemuster für Zertifikate und Sperrlisten ist dennoch korrekt, da dieses durch eine Profilierung des Common PKI Standards (SigG Profile) gerechtfertigt wird. Dieses lässt den Wegfall des CRL-Ausstellernamens auch bei Nutzung indirekter CRLs zu, um mehr Flexibilität bei der Ausstellung von Dienstzertifikaten zu erreichen. Der Adobe Reader scheint diesen Sonderfall jedoch nicht zu berücksichtigen. Ähnliche Einschränkungen gelten für die Sperrprüfung mittels Online Certificate Status Protocol (OCSP). 

Zusammenfassend lässt sich sagen, dass die Sperrprüfung in Adobe unvollständig scheint und den deutschen Gegebenheiten nicht gerecht wird. Eine Einflussnahme auf das Signaturprüfverfahren beim Dokumentenempfänger ist unseres Wissens nicht möglich, so dass wir Ihnen leider keine Möglichkeit nennen können, um unter Garantie zu einem positiven Prüfergebnis für die bekanntlich gültige Signatur zu kommen.

Der Anwender könnte die Sperrprüfung in seinen Anwendungseinstellungen generell deaktivieren, beeinträchtigt damit aber die Sicherheit der Signaturprüfung in Adobe Reader generell. Die Deaktivierung erfolgt in Adobe Reader unter "Bearbeiten > Voreinstellungen > Sicherheit > Erweiterte Sicherheit" durch Deaktivierung des Kontrollkästchens "Beim Prüfen von Unterschriften nach Möglichkeit immer feststellen, ob das zugehörige Zertifikat gesperrt wurde".

Für weitere Informationen zum Adobe Reader wenden Sie sich bitte dirket an Adobe.

Für eine zuverlässige Prüfung qualifizierter Signaturen empfiehlt es sich, eine sichere Signaturanwendungskomponente (gem. SigG/SigV) wie z.B. Sign Live! CC einzusetzen.
Unsere kostenlose Validierungssoftware "Sign Live" CC validation client (free)" steht für Sie unter https://www.intarsys.de/sw_dl_p zum Downlaod bereit.

Dieses Verhalten kann Timing-bedingt auftreten.
Bitte von der Download-Area den "kumulativen Patch 2" entsprechend dem von Ihnen genutzen Betriebssystem herunter laden.

Um mit dem EGVP arbeiten zu können, benötigen Sie ein Signaturkarte (für die Authentisierung bei EGVP) und ein Kartenlesegerät. Diese Komponenten haben Sie z. B. bei uns erworben. Um mit Ihrer Signaturkarte auch weitere PDF-Dokumente außerhalb des EGVP zu signieren, benötigen Sie eine Signaturanwendungskomponente (SAK), zum Beispiel Sign Live! CC.

• Sollten Sie Fragen zu EGVP haben, betreffend Einrichtung, Nutzung etc., wenden Sie sich bitte direkt an EGVP. Viele Informationen erhalten Sie bereits auf der Homepage des EGVP unter www.egvp.de.
  Sie erreichen den EGVP-Support auch telefonisch unter 0 18 05 - 34 87 78,  Mo. bis Fr. von 09:00 bis 17:00 Uhr (Kosten: 0,14 € / Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 € / Min.).
   
• Sollten Sie Fragen zu Sign Live! CC wegen Signatur haben, wenden Sie sich bitte per Mail an support@intarsys.de.
  Sie erreichen uns auch telefonisch unter 09001 - 384790,  Mo. bis Fr. von 09:00 bis 16:00 Uhr (Kosten: 1,99 € / Min. aus dem dt. Festnetz, Mobilfunkpreise können abweichen).

Einfach das Formular zum Abbestellen des Newsletter aufrufen, E-Mailadresse eintragen und auf die Schaltfläche "abbstellen" klicken.

Nein, sofern Sie diesen Wert nicht selbst verändert bzw. eingestellt haben.

Der Default für den Hash-Algorithmus ist ab Version 5.x "SHA-256", welcher als sicher eingestuft ist. Die Einstellung des Hash-Algorithmus (RIPEMD160, SHA-256, etc.) betrifft nur die Signatur und wird wie folgt durchgeführt:

In Sign Live! CC stellen Sie den Wert über das Menü im folgenden Bereich ein:

Extras --> Einstellungen --> Signaturen --> Signaturgeräte

Für jedes Signaturgerät kann diese Einstellung getrennt vorgenommen werden:

• signIT easy:        Signatur mit Zertifikaten aus dem lokalen Zertifikatsspeicher
• signIT signtrust CC        Signatur über die Signtrust Net API der Deutschen Post Com
• signIT smartcard CC    Signatur mit Zertifikaten auf Signaturkarten

Für das "Sign Live! CC secure mail gateway" gelten die so eingestellten Werte als "<SYSTEM-DEFAULT>".

Sie können diese Werte teilweise in der WebOberfläche überschreiben.
Dies erfolgt in den folgenden Regeln:

• Sign EMail
• Sign Attachments

Dort gibt es jeweils ein "Signing Device". Lediglich für folgende Signaturgeräte ist der Wert einstellbar:

• keystore-based signature         (entspricht signIT easy)
• Signtrust-based signature         (entspricht signIT signtrust CC)
• smartcard-based signature         (enspricht signIT smartcard CC)

Für die "Signtrust based signature" kann dieser Wert in der aktuellen Version des SMG noch nicht über die WebOberfläche geändert werden.

SHA1- und RIPEMD160:

Für den Bereich der "qualifizierten elektronischen Signatur" nach dem Signaturgesetz (z.B. für Ausgangsrechnungen) dürfen die Werte "SHA-1" und "RIPEMD160" nicht mehr verwendet werden.

Im Bereich der "fortgeschrittenen elektronischen Signatur" (z.B. Signatur von EMails) sollten die Werte "SHA-1" und "RIPEMD160" nur dann verwendet werden, wenn der Empfänger keinen höheren Hash-Algorithmus unterstützt. Heute System unterstützen aber SHA-256.

Nach dem Download eines intarsys Sign Live! CC-Produkts muss zur produktiven Inbetriebnahme der Software die Lizenz aktiviert werden. Dies erfolgt über den Produktschlüssel, den Sie als Kunde beim Kauf zur Verfügung gestellt bekommen haben.

Der Vorgang der Produktschlüsselaktivierung ist hier in allen Schritten ausführlich beschrieben.

Hier finden Sie die aktuelle Herstellererklärung sowie alle dafür wesentlichen Dokumente.

Nein, sofern Sie diesen Wert nicht selbst verändert bzw. eingestellt haben.

Der Default für den Hash-Algorithmus ist ab Version 5.x "SHA-256", welcher als sicher eingestuft ist. Die Einstellung des Hash-Algorithmus (RIPEMD160, SHA-256, etc.) betrifft nur die Signatur und wird wie folgt durchgeführt:

In Sign Live! CC stellen Sie den Wert über das Menü im folgenden Bereich ein:

Extras --> Einstellungen --> Signaturen --> Signaturgeräte

Für jedes Signaturgerät kann diese Einstellung getrennt vorgenommen werden:

• signIT easy:
  Signatur mit Zertifikaten aus dem lokalen Zertifikatsspeicher
   
• signIT signtrust CC
  Signatur über die Signtrust Net API der Deutschen Post Com
   
• signIT smartcard CC
  Signatur mit Zertifikaten auf Signaturkarten

Für das "Sign Live! CC secure mail gateway" gelten die so eingestellten Werte als "<SYSTEM-DEFAULT>".

Sie können diese Werte teilweise in der WebOberfläche überschreiben.
Dies erfolgt in den folgenden Regeln:

• Sign EMail
• Sign Attachments

Dort gibt es jeweils ein "Signing Device". Lediglich für folgende Signaturgeräte ist der Wert einstellbar:

• keystore-based signature         (entspricht signIT easy)
• Signtrust-based signature         (entspricht signIT signtrust CC)
• smartcard-based signature         (enspricht signIT smartcard CC)

Für die "Signtrust based signature" kann dieser Wert in der aktuellen Version des SMG noch nicht über die WebOberfläche geändert werden.

SHA1- und RIPEMD160:

Für den Bereich der "qualifizierten elektronischen Signatur" nach dem Signaturgesetz (z.B. für Ausgangsrechnungen) dürfen die Werte "SHA-1" und "RIPEMD160" nicht mehr verwendet werden.

Im Bereich der "fortgeschrittenen elektronischen Signatur" (z.B. Signatur von EMails) sollten die Werte "SHA-1" und "RIPEMD160" nur dann verwendet werden, wenn der Empfänger keinen höheren Hash-Algorithmus unterstützt. Heute System unterstützen aber SHA-256.

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.
  

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.

Sie erhalten von uns keine Mails zu Ihrem Account, sofern Sie diese nicht selbst veranlasst haben, z.B. durch eine Registrierung oder durch eine Kennwortänderung. Des weiteren versenden wir generell keine Anhänge in Zusammenhang mit Ihrem Account.

Sollten Sie Mails dieser Art erhalten haben, so sind diese definitiv nicht von uns und generell als Spam bzw. Virus einzustufen.

Es ist uns bekannt, dass Spams mit folgendem oder ähnlichem Inhalt unter unserem Absender versendet wurden:

Thema: intarsys.de account notification
Inhalt: Dear Customer,
This e-mail was send by intarsys.de to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) intarsys.de

Anhang: Datei settings.zip (enthält eine Datei settings.exe).

Diese Mails sind SPAM, der Anhang enthält einen Virus. Bitte ignorieren Sie diese Mails.

In diesem Tutorial ist die Installation von Sign Live! CC unter Windows und die Aktivierung der Lizenz Schritt für Schritt beschrieben.

Tutorial Sign Live! CC

Nach dem Download eines intarsys Sign Live! CC-Produkts muss zur produktiven Inbetriebnahme der Software die Lizenz aktiviert werden. Dies erfolgt über den Produktschlüssel, den Sie als Kunde beim Kauf zur Verfügung gestellt bekommen haben.

Der Vorgang der Produktschlüsselaktivierung ist hier in allen Schritten ausführlich beschrieben.

Nach dem Einspielen des Certifikat-Updates sollte das neue Wurzelzertifikat in der Zertifikatsverwaltung als vertrauenswürdiges Zertifikat zur Verfügung stehen. Dies kann wie folgt überprüft werden:

1. Sign Live! CC starten.
2. Menüpunkt Extras-->Zertifikate-->Zertifiaktsverwaltung wählen.
3. Den Inhalt vom Verzeichnis "vertrauenswürdige Stammzertifikate" anzeigen lassen.
4. Das Zertifikat mit dem Name "14R-CA 1:PN,Bundesnetzagentur" sollte sich in diesem Verzeichnis befinden.

Sollte diese Zertifikat nicht vorhanden sein, bitte Update nochmals durchführen.
MAC OS X-user nutzen zum Update bitte die "installpatch"-Shell.

Wenn Sie den mitgelieferten E-Mail-Text beim Betrieb von CoSIMA um eigene Schlüsselworte erweitern wollen (z.B. Rechnungsnummer, E-Mail-Absender etc.), dann müssen Sie in dem Quelldokument in Ihrer Office-Anwendung die Variablen zuvor definieren. Wie das anhand eines Schlüsselworts zur Übernahme der Gesamtsumme einer Rechnung in den E-Mail-Text funktioniert, erläutert unser kleines Tutorial, das Sie hier herunterladen können. Zusätzlich haben wir auch die im Tutorial beschriebene Beispielrechnung als Word 2007 Dokument hier verfügbar gemacht.

Mit Version 5.1 von Sign Live! CC kann über CoSiMA sehr einfach aus jeder Anwendung heraus durch einfaches Drucken ein komplexer Konvertierungs- und Signaturworkflow ausgelöst werden. Das funktioniert auch unter Mac OS X.

Ein ausführliches Tutorial finden Sie hier. Die dazugehörige XML-Datei (instruments.xml) können Sie hier herunterladen.

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.
  

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.

Die Log-Datei finden Sie über die Menüoption „Fenster - Log-Datei anzeigen“:

Sie finden die Log-Datei auch direkt in Ihrem Benutzerverzeichnis im Unterverzeichnis „.SignLiveCC_<version>“.

Beispiel: C:\Dokumente und Einstellungen\kgo.IS_DOM01\.SignLiveCC_4.1

Falls Sie die Massensignatur verwenden, entfernen Sie bitte die Karte aus dem Kartenleser und stecken Sie diese anschließend wieder ein. Sie sollten dann wieder zur PIN Eingabe aufgefordert werden.

Sie müssen die Batch-Datei mit der Option "als Administrator ausführen" aufrufen.

Sollten Sie mehr Aktionen (z.B. Signaturen) durchführen wollen, als Sie im Lizenzschlüssel definiert haben, so arbeitet die Software weiter, wird aber dabei langsamer (z.B. nur noch eine Signatur pro Minute). Sie können dies wie folgt prüfen:

1. Ist die Anzahl der Aktionen pro Zeiteinheit überschritten, so finden Sie in der Log-Datei einen Eintrag, wie z.B. den folgenden:
   Lizenz 'Sign Live!', Eigenschaft 'account_sign' beschränkt auf 525 pro Tag

2. Über die Menüoption „Extras - Lizenzverwaltung“ überprüfen Sie in Sign Live! CC die Einstellungen Ihrer Lizenz:

   

   Sollte die Lizenz nicht ausreichen, setzen Sie sich bitte mit uns wegen eines Lizenz-Upgrades in Verbindung.
    

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libfreetype.so, die für das Anzeigen eines Dokumentes notwendig ist, nicht mehr enthalten. Das Package libfreetype6-dev muss nachinstalliert werden.

Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.

Um die Betriebssprache von Sign Live! CC zu manipulieren benötigen Sie Administratorenrechte.
Gehen Sie folgendermaßen vor:

1. Beenden Sie Sign Live! CC.
2. Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen "C:\Programme\Sign Live CC 6.x" oder "C:\Programme (x86)\Sign Live CC 6.x".
3. Navigieren Sie weiter in das Unterverzeichnis "demo\SignLive\vmoptions\language english".
4. Kopieren Sie aus diesem Verzeichnis die Datei "SignLiveCC.exe.vmoptions".
5. Wechseln Sie in das Unterverzeichnis "bin" des Installationsverzeichnisses von Sign Live! CC und legen Sie eine Sicherungskopie der bestehenden Datei "SignLiveCC.exe.vmoptions" ein.
6. Fügen Sie anschließend die kopierte Datei in dieses Verzeichnis ein.
7. Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.

Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC in englisch dargestellt.

• - Die Initialisierung der Signatur-PIN führt beim neuen Personalausweis zum Löschen des privaten Signaturschlüssels! D.h. es zerstört das Signaturzertifikat!
• - Im nächsten Update von SignLive! CC wird diese Funktion nicht mehr bereitgestellt werden.

Folgende Voraussetzungen sollten erfüllt sein:

• Auf Ihrem nPA ist das Signaturzertifikat hinterlegt
• Sie haben sich das Zertifikat mit der Software "signMe" auf Ihren nPA geladen
• Sie haben als Kartenlesegerät einen. REINER SCT RFID im Einsatz.

So signieren Sie dann mit "Sign Live! CC"

• Öffnen Sie das zu signierende Dokument.
• Wählen Sie die Funktion 'Dokument signieren' unter Werkzeuge -> Signaturfunktion oder aus der Werkzeugleiste.
• Wählen Sie die Art der Signatur: PDF Signatur oder PKCS#7 Signatur. Achtung, die PDF-Signatur kann nicht von Acrobat Reader validiert werden, da der Reader keine elliptische Kurven Kryptographie unterstützt, die der neue Personalausweis verwendet.
• Folgen Sie den dokumentspezifischen Dialogseiten.
• Auf der Seite 'Signaturgerät' wählen Sie 'signIT smartcard CC'.
• Wählen Sie den Kartenleser aus. Stecken Sie den Personalausweis in den Kartenleser, so dass Sie die 6-stelligen Kartenzugangsnummer lesen können. Diese steht rechts neben dem 'Gültig bis' Datum.
• Ein Dialog sollte erscheinen, der Sie auffordert die Kartenzugangsnummer einzugeben. Auf dem Kartenleser erscheint je nach Version folgende Texte:
• "Signaturen zulassen?" -> mit OK bestätigen. Darauf folgt der Text "CAN" (bei älterer Firmware) oder "Kartenzugangsnummer". Geben Sie jetzt die 6-stelligen Kartenzugangsnummer ein und bestätigen Sie diese mit OK.
• Ihr Zertifikat sollte jetzt im SignLive! CC Dialog erscheinen.
• Falls Sie eine falsche PIN eingeben, kann das Zertifikat nicht ausgelesen werden und im Dialog erscheint "Es sind keine Identitäten auf der Karte vorhanden ...".
• Falls Sie mehrmals die falsche PIN als Kartenzugangsnummer eingegeben haben, kann diese gesperrt sein. Dann gibt es ein spezielles Vorgehen die Kartenzugangsnummer zu entsperren. Folgen Sie in diesem Fall den Anweisungen des Kartenlesers.
• Wählen Sie ihr Zertifikat im Dialog aus und drücken Sie auf 'Fertig stellen'.
• Ein Dialog erscheint, der Sie auffordert jetzt ihre Signatur-PIN auf dem Kartenleser einzugeben. Dannach wird das Dokument signiert.

Lesen Sie dazu in der Hilfe von "Sign Live! CC" auch das Kapitel "Signaturgeräte signIT smartcard CC".

Durch die kontaktlose Schnittstelle des neuen Personalausweises und die erhöhten Sicherheitsanforderungen (Kartenzugangsnummer, dann Signatur-PIN), ist der Ablauf nicht ganz so intuitiv, wie man sich das wünschen würde.

Wenn Sie den mitgelieferten E-Mail-Text beim Betrieb von CoSIMA um eigene Schlüsselworte erweitern wollen (z.B. Rechnungsnummer, E-Mail-Absender etc.), dann müssen Sie in dem Quelldokument in Ihrer Office-Anwendung die Variablen zuvor definieren. Wie das anhand eines Schlüsselworts zur Übernahme der Gesamtsumme einer Rechnung in den E-Mail-Text funktioniert, erläutert unser kleines Tutorial, das Sie hier herunterladen können. Zusätzlich haben wir auch die im Tutorial beschriebene Beispielrechnung als Word 2007 Dokument hier verfügbar gemacht.

Mit Version 5.1 von Sign Live! CC kann über CoSiMA sehr einfach aus jeder Anwendung heraus durch einfaches Drucken ein komplexer Konvertierungs- und Signaturworkflow ausgelöst werden. Das funktioniert auch unter Mac OS X.

Ein ausführliches Tutorial finden Sie hier. Die dazugehörige XML-Datei (instruments.xml) können Sie hier herunterladen.

Bevor Sie als Unternehmer elektronische Rechnung verbuchen können müssen Sie die darin enthaltene Signatur prüfen und ein Validierungsprotokoll erstellen. Dieses Validierungsprotokoll archivieren Sie zusammen mit der Rechnung.

Wenn Sie mit "Sign Live! CC" Ihre qualifizierten Signaturen erstellen, steht Ihnen diese Funktion bereits zur Verfügung.

Für die ausschließliche Validierung von Signaturen einzelner Dokumente können Sie unsere Validierungssoftware „Sign Live! CC validate“ nutzen die Sie hier herunterladen und installieren können. Die Verwendung ist kostenfrei!

Hintergrund: Die Bundesnetzagentur sieht seit dem 1. Januar 2008 vor diesem Tag vorgenommene 1024-Bit-Signaturen nicht mehr als sicher an. Deshalb stellt sich die Frage, ob elektronisch signierte Rechnungen zur Erhaltung der Signaturqualität mit einer sicheren Signatur übersigniert werden müssen.

Das BMF-Schreiben vom 30. Oktober 2007 - IV A 5 - S 7287-a/07/0005 (PDF) stellt klar, dass dies nicht erforderlich ist.

Für sicherheitsrelevante Anwendungen - wie zum Beispiel Internetbanking oder Signatur mit Sign Live! CC - werden Kartenlesegeräte in Sicherheitsklassen eingeteilt.

Für die Erzeugung einer qualifizierten elektronischen Signatur (z. B. für die elektronische Rechnungsstellung) benötigen Sie Kartenlesegeräte der Sicherheitsklasse III. Diese Geräte zeichnen sich u. a. dadurch aus, dass sie zusätzlich zur Tastatur über ein Display verfügen. Da Sign Live! CC beim BSI zertifiziert wurde, empfehlen wir Kartenlesegeräte, die ebenfalls diese Zertifizierung besitzen.

In dieser Liste (pdf) finden Sie Hersteller und die Bezeichnung der getesteten Kartenlesegeräte.

1. Die Zustimmung des Empfängers ist erforderlich (§ 14 Abs. 3 UStG).
   Bedeutet: Sie müssen zunächst einmal zugestimmt haben, dass Sie zukünftig Rechnungen auf elektronischem Wege erhalten. Diese Zustimmung kann formlos erfolgen, z. B. durch eine telefonische Vereinbarung.
    
2. Die Echtheit der Herkunft („Authentizität“) und die Unversehrtheit der Daten („Integrität“) müssen durch eine qualifizierte elektronische Signatur gewährleistet werden (§ 14 Abs. 1 UStG).
   Bedeutet: Erfüllt die elektronische Rechnung die Anforderungen nicht (sie enthält beispielsweise keine qualifizierte elektronische Signatur), berechtigt sie nicht zum Vorsteuerabzug. In diesem Fall sollten Sie eine korrekte elektronische Rechnung beim Versender anfordern. Falls dieser das nicht leisten kann, sollten Sie auf einer papierhaften Rechnung per Postweg bestehen.
    
3. Die Dokumentation des Verfahrens ist erforderlich (§ 145 AO).
   Bedeutet: Sie sind dazu verpflichtet, das angewendete Verfahren der Rechnungsbearbeitung in Ihrem Hause vom Dateneingang bis zur Speicherung nachvollziehbar zu dokumentieren.
    
4. Aufbewahrungspflichten und -fristen müssen eingehalten werden (Aufbewahrungspflicht nach § 14b Abs. 1 UStG).
   Bedeutet: Diese Prüfung der qualifizierten elektronischen Signatur muss dokumentiert werden und gemäß GDPdU gemeinsam mit der Rechnung veränderungssicher archiviert werden (elektronisches Archiv, CD-ROM bei kleinen Mengen). Es gelten die Aufbewahrungsfristen für Papierrechnungen (in der Regel 10 Jahre).

Weitere Informationen zur Validierung von Rechnungen im Flyer.

Dieses Verhalten kann Timing-bedingt auftreten.
Bitte von der Download-Area den "kumulativen Patch 2" entsprechend dem von Ihnen genutzen Betriebssystem herunter laden.

Die meisten Rechtsanwälte haben die Signaturkarte für das EGVP im Einsatz. Deshalb wurde die Signaturkarte ungefähr zeitgleich mit der Einrichtung des Postfachs im EGVP bestellt.

Signaturkarten arbeiten mit Zertifikaten, die - je nach bestellter Laufzeit - nach 2 oder 3 Jahren ablaufen. Ca. 6 Wochen vor Ablauf der Signaturkarte werden die Rechtsanwälte von der T-Systems darüber informiert und haben die Möglichkeit, eine neue Karte bzw. eine Folgekarte zu bestellen. Diese neue Karte ist nach Initialisierung und Bestätigung (per Mail von der T-Systems) ohne Einschränkung zur Erstellung von qualifizierten Signaturen nutzbar.

Auch das EGVP arbeitet mit einem Zertifikat. Diese Zertifikat ist völlig unabhängig vom Zertifikat der Signaturkarte. Dieses wurde beim Einrichten in EGVP erstellt. Auch dieses Zertifikate läuft aus und Sie bekommen in EGVP einen entsprechenden Warnhinweis oder eine Fehlermeldung.

Da das EGVP-Zertifikat (nahezu) die selbe Laufzeit wie Ihre Signaturkarte hat, erscheint diese Fehlermeldung nahezu zeitgleich mit dem Einsatz der neuen Signaturkarte. Es scheint so, als würde der Einsatz der neuen Signaturkarte das EGVP-Zertifikat beeinflussen. Tatsächlich sind dies aber zwei völlig unabhängige Zertifikate.

Bei EGVP können/müssen Sie Ihr EGVP-Zertifikat in Ihrem Postfach selbständig bearbeiten/verwalten. Leider können wir Ihnen bei Fehlermeldungen im EGVP nicht weiter helfen, da wir ausschließlich für die Signaturkarten und deren Zertifikate zuständig sind.

Bitte wenden Sie sich bei Fehlermeldungen in EGVP an den Support des EGVP, den Sie unter 01805 -34 87 78 erreichen.

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.
  

Sofern Zertifikate oder Signaturkarten verwendet werden, die eine Verschlüsselung mit mehr als 1024 Bit benötigen, so muss eine Java Erweiterung zur Nutzung der "unbegrenzten Verschlüsselungstiefe" installiert werden ("JCE").

Diese Erweiterung unterliegt amerikanischen Exportbeschränkungen und darf daher nicht von uns ausgeliefert werden. Sie ist nur in bestimmten Ländern verfügbar.

Sie können diese Erweiterung mit dem Namen "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6" aus dem Internet herunterladen.

Installation JCE

• Bitte entpacken Sie die Datei "jce_policy-6.zip" und kopieren Sie die beiden Dateien "local_policy.jar" und "US_export_policy.jar" in das Verzeichnis "C:\Program Files (x86)\Sign Live CC 5.0\jre\lib\security\"
• Ersetzen Sie die ggf. vorhandenen Dateien.

Es gibt sehr viele verschiedene Grafikformate und Grafikformatvarianten, von denen nicht alle von unserer Anwendung angezeigt werden können. Außerdem besitzen wir nicht für alle Grafikformate Beispieldateien, so dass wir auch nicht jedes Format testen können.

Es handelt es sich um diesem Problem um ein reines Darstellungsproblem: Die Grafik ist immer vorhanden und wird auch gespeichert, aber ggf. nicht angezeigt.

Sollten Sie eine Grafik finden, die unsere Anwendung nicht darstellen kann, wäre es für uns hilfreich, wenn Sie uns diese Grafik als Datei per E-Mail zusenden würden. Wir möchten möglichst jedes Grafikformat unterstützen, sofern dies möglich und copyrighttechnisch erlaubt ist. Auf Basis Ihrer Grafikdatei können wir so CABAReT Stage erweitern.

Nach dem Download eines intarsys Sign Live! CC-Produkts muss zur produktiven Inbetriebnahme der Software die Lizenz aktiviert werden. Dies erfolgt über den Produktschlüssel, den Sie als Kunde beim Kauf zur Verfügung gestellt bekommen haben.

Der Vorgang der Produktschlüsselaktivierung ist hier in allen Schritten ausführlich beschrieben.

Wir verwenden für die Installation die Software "InnoSetup" von "JRSoftware". Diese unterstützt ein Silent Install.

Die Parameter hierfür sind hier dokumentiert:

• http://www.jrsoftware.org/ishelp/topic_setupcmdline.htm

Am besten erzeugen Sie mit

• setup_SignLive_CC_JRE_4.2.1.exe /SAVEINF="c:\temp\install.inf"

eine  "INF" Datei, die Sie anpassen und dann mit

• setup_SignLive_CC_JRE_4.2.1.exe /SILENT /LOADINF="c:\temp\install.inf"

ausführen. Es gibt auch "/VERYSILENT".

Die Installationsroutine von Sign Live! CC gibt es mit und ohne Java-Laufzeit-Umgebung (= Java Runtime Environment=JRE). Die JRE wird von Sign Live! CC in einer speziellen Version benötigt, da die Anwendung sonst nicht funktioniert.

Bei Verwendung der Installationsroutine "Sign Live! CC (with JRE)" wird eine nur für diese Anwendung verwendete JRE installiert und im Programmverzeichnis abgelegt.

Wenn Sie nicht sicher sind, ob die aktuelle JRE auf Ihrem Rechner installiert ist, empfehlen wir auf jeden Fall die Installation von "Sign Live! CC with JRE".

Die aktuellen Informationen über die Betriebssysteme und die getestete Hardware (z. B. Signaturkarten und Kartenlesegeräte) finden Sie immer im aktuellen Datenblatt. 

Außerdem werden ThinClient-Szenarien auf Basis von Windows Terminal Server bzw. Citrix Presentation Server unterstützt.

Bei der Installation von Sign Live! CC unter Windows werden Registrierungen vorgenommen, für die ADMIN-Rechte benötigt werden. Bitte gewährleisten Sie, dass die Installation mit ADMIN-Rechten durchgeführt wird.

Sollten Sie bei der Installation nicht als Administrator angemeldet sein, so starten Sie den Installationsassistenten über das Kontextmenü und wählen Sie "Ausführen als Administrator".

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libpcsclite, die für die Kommunikation mit einem Kartenleser notwendig ist, nicht mehr enthalten. Das Package libpcsclite-dev muss nachinstalliert werden.

Wahrscheinlich haben Sie den CHERRY ST2000 schon länger im Einsatz. Vermutlich ist auf dem Kartenlesegerät noch eine veraltete Firmware installiert. Diese können Sie beim Hersteller, der Firma CHERRY, kostenlos updaten. Bitte wenden Sie sich direkt an die Firma CHERRY. Die Kontaktdaten finden Sie hier.

Kobil KAAN Advanced, Fehlermeldung: SCARD_E_COMM_DATA_LOST

Der Fehler tritt mit Telesec Netkey 3.0 (TCOS 3.0) Signaturkarten auf. Der Fehler weist auf einen Übertragungfehler hin. Behoben wir der Fehler durch ein Firmwareupdate auf die Version 1.9 des Chipkartenlesers. Das Firmwareupdate ist von der Kobil Webseite zu beziehen.

Kobil KAAN Advanced, Fehlermeldung: Fehler beim Lesen der Karte

Beim häufigen Wechseln der Karte im Kartenleser tritt mit wachsender Wahrscheinlichkeit die Fehlermeldung “Fehler beim Lesen der Karte” auf. Falls der Kartenleser die Karte überhaupt nicht mehr lesen kann, hilft nur noch ein Neustart des Rechners oder ein Neustart des Windows Dienstes “Smartcard”. Bis jetzt wurde der Fehler nur bei Kobil Geräten festgestellt.

Reiner SCT e-com (Klasse 3)

Die PIN-Eingabe ist auf maximal 15 Zeichen beschränkt bei den neuen Modellen (Firmware 3.x). Dies betrifft die Karten der Swisscom.

Reiner SCT seccoder

Fehlermeldung: “wrong length (wrong Le field; ‘27′ fixes the exact length)” (der Wert 27 ist nur ein Beispiel). Der Fehler betrifft nur SignLive! CC 4.0.x und wurde in SignLive! CC 4.1.0 behoben.

SAGEM ORGA 6000

Der Kartenleser reagiert in Sign Live! CC unter WIN 7 nicht.
1) Installieren Sie bitte das aktuelle Setup von der Internetseite:
http://ingenico-healthcare.de/index.php/service/downloadservice/120-trei...

2) Nach Anschluß des ORGA 6000 installieren Sie zusätzlich den PC/SC Treiber.
Siehe dazu Punkt 3.5 aus der Beschreibung (Installation Info (Deutsch).htm).
 

Der Kartenleser darf zwar nach Systemstart angeschlossen werden, aber nicht während Betrieb des Rechners abgezogen werden.

Für sicherheitsrelevante Anwendungen - wie zum Beispiel Internetbanking oder Signatur mit Sign Live! CC - werden Kartenlesegeräte in Sicherheitsklassen eingeteilt.

Für die Erzeugung einer qualifizierten elektronischen Signatur (z. B. für die elektronische Rechnungsstellung) benötigen Sie Kartenlesegeräte der Sicherheitsklasse III. Diese Geräte zeichnen sich u. a. dadurch aus, dass sie zusätzlich zur Tastatur über ein Display verfügen. Da Sign Live! CC beim BSI zertifiziert wurde, empfehlen wir Kartenlesegeräte, die ebenfalls diese Zertifizierung besitzen.

In dieser Liste (pdf) finden Sie Hersteller und die Bezeichnung der getesteten Kartenlesegeräte.

SignLive! CC legt Log-Dateien an, die uns helfen Fehler zu finden.

• Stellen Sie bitte in SignLive! CC unter Extras -> Einstellungen -> Grundeinstellungen den 'Log Detailgrad' auf 'Alle Details'.
• Danach bitte den Fehler nochmals reproduzieren.
  Anschließend gehen Sie auf Fenster -> Log-Datei anzeigen.
  Es erscheint ein Dialog mit den Log-Dateien.
• Sehen Sie die Dialog-Überschrift. Dort wird der Pfad zu den Log-Dateien angezeigt.
• Gehen Sie mit dem Finder -> Gehe zu -> Gehe zum Ordner ... zu diesem Ordner und schicken Sie uns bitte alle Dateien, die in .log enden.

Die LOG-Dateien helfen uns den Fehler zu analysieren und Ihnen rasch zu antworten.

Vor der Installation von Sign live! CC sollten Sie die X11-Umgebung laden und installieren. Den Download finden Sie hier.

Sollte Sie Fehlermeldungen in der Art "...Sign Live app ist beschädigt und kann nicht geöffnet werden … " bekommen, liegt dies mit ziemlicher Sicherheit am Gatekeeper von OS X Mountain Lion, also an Ihren Sicherheitseinstellungen.

"In der Kategorie Sicherheit wird Gatekeeper im Reiter Allgemein einfach mit der Einstellung „Programme aus folgenden Quellen erlauben“ beschrieben.

• Ist die Option „Keine Einschränkungen“ gewählt, lassen sich Anwendungen ganz wie bisher auch installieren – egal ob aus dem Mac App Store, von Datenträgern oder aus dem Internet heruntergeladene Programme. Eine Warnung, dass „ein Programm aus dem Internet“ geöffnet wird, kann sich OS X aber dennoch nicht als Warnhinweis verkneifen."

(Quelle: 
www.maclife.de/tipps-tricks/mac-os-x/os-x-mountain-lion-gatekeeper-richtig-konfigurieren )

Damit sollte Ihr Problem gelöst sein.

Wenn Sie aus Sign Live! CC auf den Button "Aktuelles Dokument verschicken" klicken, wird unter OS X der Dateianhang nicht erzeugt.
Das liegt daran, dass die Übergabe von Dateianhängen bei Verwendung des mailto-Protokolls nicht unterstützt wird.

Lösung:
Datei speichern und nachträglich anhängen.

Zum Durchführen einer Signatur mit Signtrust NET wird das Paket  „libstdc++5“ benötigt. Dieses muss unter Ubuntu 12.04 nachinstalliert werden. Die Installation kann z.B. über die Paketverwaltung oder per Terminal mittels „sudo apt-get install libstdc++5“ erfolgen.

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libfreetype.so, die für das Anzeigen eines Dokumentes notwendig ist, nicht mehr enthalten. Das Package libfreetype6-dev muss nachinstalliert werden.

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libpcsclite, die für die Kommunikation mit einem Kartenleser notwendig ist, nicht mehr enthalten. Das Package libpcsclite-dev muss nachinstalliert werden.

1. Lösen Sie die Lizenzdatei (*.lic) aus der Mail über das Kontextmenü (= Klick rechte Maustaste).
2. Wählen Sie den Befehl „Speichern ...“  und speichern Sie die Datei in ein beliebiges Verzeichnis (z. B. C:/Temp).
3. Starten Sie Sign Live! CC.
4. Wählen Sie den Menüeintrag "Datei > Öffnen" und darin die gespeicherte Lizenzdatei (*.lic) aus. Klicken Sie abschließend auf die Schaltfläche "Öffnen". Sie erhalten nun den Hinweis „Lizenz erfolgreich geladen“.
5. Beenden Sie Sign Live! CC und starten Sie die Anwendung neu, damit die Lizenz aktiviert wird.

Die korrekte Installation können Sie im Menüpunkt "Extras>Lizenzverwaltung" prüfen.
 

Bei der SignTrust-Signaturkarte haben Sie keine "PUK", mit der Sie eine gesperrt PIN zurücksetzen können.

Wenn Sie Ihre PIN vergessen oder 3 x falsch eingegeben haben, ist diese unwiderruflich gesperrt.

Ich diesem Fall haben Sie die Möglichkeit, eine Ersatzkarte online zu beantragen. Gehen Sie dazu direkt auf der Seite der Deutschen Post und beantragen Sie die Ersatzkarte unter https://ssl.signtrust.de/order/replaceorder.nav.

Verwendung der PIN 2:
Beide PIN 2 sind SicherheitsPINs, um bei versehentlichem Sperren der PIN1 durch mehrmalige falsche PIN-Eingabe diese wieder zu entsperren.

Der von Ihnen eingesetzte Kartenleser wird in Kombination mit der eingesetzten Signaturkarte für die sichere PIN-Eingabe von PIN2 nicht unterstützt.

Lösung:
Bitte deaktivieren Sie über Menüpunkt EXTRAS-Einstellungen die sichere PIN -Eingabe (siehe Tutorial ) oder verwenden Sie einen anderen Kartenleser (gem. Datenblatt).

Hinweis:
Bitte notieren Sie sich alle vergebenen PINs und bewahren Sie diese Information an einem sicheren Ort auf.

Die Toolbox funktioniert generell nur mit einem angeschlossenen Monitor.

Wenn Sie beispielsweise einen Laptop zusätzlich an einen Standmonitor angeschlossen haben, sind zwei Monitore geöffnet.

Lösung: Schalten Sie zur PIN-Änderung einen ab.

Dies hängt von der Signaturkarte ab.

Manche Karten sind nach mehrfacher falscher PIN Eingabe für immer gesperrt. In diesem Fall müssen Sie eine neue (Ersatz-) Signaturkarte beantragen, da sich die Sperrung nicht aufheben lässt (halten Sie dafür am besten bereits die Antragsnummer und die Signaturzertifizierungsnummer bereit).

Bei Karten, für die Sie zusätzlich eine PUK bekommen haben, können Sie durch die Eingabe der PUK die PIN-Eingabe wieder freischalten. Bei manchen Karten initialisieren Sie sich Ihre PUK selbst. Auch damit können Sie die PIN-Eingabe wieder freischalten.

Starten Sie dazu Sign Live! CC und wählen Sie den Menüpunkt "Werkzeuge - Smartcard-Werkzeuge - PIN zurücksetzen". Folgen Sie den Angaben in den Dialogen.

Die Signaturkarten werden mit einer Transport-PIN ausgeliefert, die Sie mit Sign Live! CC ändern können. Je nach Signaturkarte können dies auch mehrere Transport-PINs sein, die dann alle nacheinander geändert werden müssen.

Starten Sie dazu Sign Live! CC und wählen Sie den Menüpunkt "Werkzeuge - Smartcard-Werkzeuge - PIN/PUK Initialisieren". Folgen Sie den Angaben in den Dialogen.

Schweizerische Signaturkarten lassen im Gegensatz zu deutschen Signaturkarten eine alphanumerische PIN zu. Der PIN-Änderungsmechanismus von Sign Live! CC lässt nur die Eingabe von Zahlen zu.

Lösungsmöglichkeit:

1. Starten Sie Sign Live! CC und wählen Sie den Menüpunkt "WERKZEUGE - Smartcard-Werkzeuge".
2. Öffnen Sie einen beliebigen Texteditor und geben Sie die gewünschte PIN ein.
3. Markieren Sie die eingegeben PIN und kopieren Sie sie mit der Tastenkombination STRG+C.
4. Wechseln Sie zu Sign Live! CC und fügen die neue PIN mit der Tastenkombination STRG+V in das Feld "neue PIN" und "neue PIN wiederholen" ein.
5. Bestätigen Sie Ihre Eingabe mit Klick auf die Schaltfläche "Fertigstellen".

Hinweis: Beachten Sie bitte, dass dies nur für Signaturkarten aus der Schweiz funktioniert!

Die für die PKCS#11-Kommunikation zuständige SUN-Bibliothek kann Pfade mit „(“ nicht verarbeiten.

Solange Sun diesen Bug nicht fixt muss der Anwender dafür Sorge tragen, dass die benötigen DLLs in Verzeichnisse installiert werden, deren Pfade kein „(“ enthalten.

Der Fehler ist im SLCC-Log erkennbar. Z. B.:

[21.11.2012-16:37:26:190 ][WARNING][...curity.device.pkcs11.common][main           ] Error parsing configuration

Unterschied:
Das "Attribut im Hauptzertifikat" ist fester, unabänderlicher Bestandteil des Hauptzertifikats und wird bei jeder Signatur eingefügt.
Das "qualifizierte Attribut-Zertifikat" ist ein eigenes Zertifikat, mit fester Referenz zum Hauptzertifikat. Sie können bei jedem Signiervorgang entscheiden, ob Sie das Attributszertifikat anhängen oder nicht.

Beantragung:
Ein "Attribut im Hauptzertifikat" kann nur zusammen mit dem Hauptzertifikat beantragt werden. Eine nachträgliche Eintragung ist nicht möglich.
Ein "qualifiziertes Attributszertifikat" kann auch nachträglich beantragt werden.

Eine ausführliche Installationsanleitung sowie eine Beschreibung, wie Sie die Auftragsdatei für die Bestellung einer Folgekarte signieren finden Sie in diesem Tutorial.

Dieses Tutorial beschreibt Schritt für Schritt die Initialisierung der Telesec-Signaturkarten.

Die SigG PIN1 (für die qualifizierte Sigantur) ist Ihre Signatur-PIN. Die Globale PIN 1 wird für Verschlüsselung und Authentisierung verwendet. Die zusätzlichen PIN 2 benötigen Sie, um bei mehrfach falscher Eingabe den jeweiligen Fehlerzähler wieder zurück zu setzen.

Bitte beachten Sie bei der Initialisierung die jeweiligen Hinweise genau. Es ist erforderlich, dass Sie sich bei jeder PIN exakt an die erforderliche Anzahl der Zeichen halten.

Verwendung der PIN 2:
Beide PIN 2 sind SicherheitsPINs, um bei versehentlichem Sperren der PIN1 durch mehrmalige falsche PIN-Eingabe diese wieder zu entsperren.

Der von Ihnen eingesetzte Kartenleser wird in Kombination mit der eingesetzten Signaturkarte für die sichere PIN-Eingabe von PIN2 nicht unterstützt.

Lösung:
Bitte deaktivieren Sie über Menüpunkt EXTRAS-Einstellungen die sichere PIN -Eingabe (siehe Tutorial ) oder verwenden Sie einen anderen Kartenleser (gem. Datenblatt).

Hinweis:
Bitte notieren Sie sich alle vergebenen PINs und bewahren Sie diese Information an einem sicheren Ort auf.

Wahrscheinlich haben Sie den CHERRY ST2000 schon länger im Einsatz. Vermutlich ist auf dem Kartenlesegerät noch eine veraltete Firmware installiert. Diese können Sie beim Hersteller, der Firma CHERRY, kostenlos updaten. Bitte wenden Sie sich direkt an die Firma CHERRY. Die Kontaktdaten finden Sie hier.

Sie haben eine neue Signaturkarte von der T-Systems erhalten. Damit Sie diese nutzen können, müssen Sie verschiedene PINs auf der Karte initialisieren. Sollten Sie dies noch nicht erledigt haben, nehmen Sie die Initialisierungen bitte jetzt von. Das genaue Vorgehen ist in der Anleitung zur Initialisierung TelesecKarte beschrieben.

Zusammen mit Ihrer neuen Signaturkarte haben Sie ein Empfangsbestätigungsschreiben von der T-Systems erhalten. Nach erfolgreicher Initialisierung der PINs schicken Sie bitte die Empfangsbestätigung - zusammen mit eventuell angeforderten Unterlagen - zurück.

Die T-Systems schaltet nach Eingang der Empfangsbestätigung Ihre Signaturkarte frei.

Die meisten Rechtsanwälte haben die Signaturkarte für das EGVP im Einsatz. Deshalb wurde die Signaturkarte ungefähr zeitgleich mit der Einrichtung des Postfachs im EGVP bestellt.

Signaturkarten arbeiten mit Zertifikaten, die - je nach bestellter Laufzeit - nach 2 oder 3 Jahren ablaufen. Ca. 6 Wochen vor Ablauf der Signaturkarte werden die Rechtsanwälte von der T-Systems darüber informiert und haben die Möglichkeit, eine neue Karte bzw. eine Folgekarte zu bestellen. Diese neue Karte ist nach Initialisierung und Bestätigung (per Mail von der T-Systems) ohne Einschränkung zur Erstellung von qualifizierten Signaturen nutzbar.

Auch das EGVP arbeitet mit einem Zertifikat. Diese Zertifikat ist völlig unabhängig vom Zertifikat der Signaturkarte. Dieses wurde beim Einrichten in EGVP erstellt. Auch dieses Zertifikate läuft aus und Sie bekommen in EGVP einen entsprechenden Warnhinweis oder eine Fehlermeldung.

Da das EGVP-Zertifikat (nahezu) die selbe Laufzeit wie Ihre Signaturkarte hat, erscheint diese Fehlermeldung nahezu zeitgleich mit dem Einsatz der neuen Signaturkarte. Es scheint so, als würde der Einsatz der neuen Signaturkarte das EGVP-Zertifikat beeinflussen. Tatsächlich sind dies aber zwei völlig unabhängige Zertifikate.

Bei EGVP können/müssen Sie Ihr EGVP-Zertifikat in Ihrem Postfach selbständig bearbeiten/verwalten. Leider können wir Ihnen bei Fehlermeldungen im EGVP nicht weiter helfen, da wir ausschließlich für die Signaturkarten und deren Zertifikate zuständig sind.

Bitte wenden Sie sich bei Fehlermeldungen in EGVP an den Support des EGVP, den Sie unter 01805 -34 87 78 erreichen.

Grundsätzlich gilt für ALLE Singaturkarten (auch für Folgekarten!) aller Signaturkartenanbieter:
Die "alten" Mails/Dokumente wurden mit Ihrem "alten" öffentlichen Schlüssel verschlüsselt und können daher nur mit Ihrem "alten" privaten Schlüssel (der auf Ihrer "alten" Signaturkarte gespeichert ist) entschlüsselt werden.

Mit einer Folgekarte/Neukarte erhhalten Sie ein neues Schlüsselpaar, das diesmal durch die Umstellung von RSA auf ECC (ab 01.01.2013) sogar auf einem anderen Algorithmus basiert. Dieses ist für Ihre Bestandsmails/Verschlüsselten Dokumente nicht anwendbar.
Es empfiehlt sich daher, die "alte" Signaturkarte nicht zu entsorgen.

Dass eine Karte abgelaufen ist hat beim Entschlüsseln von DOKUMENTEN mit Sign Live! CC keinen Einfluss. Das Ablaufdatum der Signaturkarte wird in Sign live! CC nur bei der Signatur geprüft.

Die Signaturkarten der D-Trust haben bei Auslieferung eine 5-stellige Transport-PIN; bei Auslösen der Signaturfunktion erwarten die Karten aber die Eingabe einer 8-stelligen PIN. Sign Live! CC prüft die auf der Karte gespeicherte PIN und stellt fest, dass die PIN-Längen nicht zusammenpassen. Die "Weiter"-Schaltfläche wird darum nicht aktiviert.

Workaround: Verwenden Sie das PIN-Änderungsprogramm des Kartenherstellers, um die Transport-PIN Ihrer D-Trust-Karte in eine 8-stellige PIN zu ändern.

Die meisten Rechtsanwälte haben die Signaturkarte für das EGVP im Einsatz. Deshalb wurde die Signaturkarte ungefähr zeitgleich mit der Einrichtung des Postfachs im EGVP bestellt.

Signaturkarten arbeiten mit Zertifikaten, die - je nach bestellter Laufzeit - nach 2 oder 3 Jahren ablaufen. Ca. 6 Wochen vor Ablauf der Signaturkarte werden die Rechtsanwälte von der T-Systems darüber informiert und haben die Möglichkeit, eine neue Karte bzw. eine Folgekarte zu bestellen. Diese neue Karte ist nach Initialisierung und Bestätigung (per Mail von der T-Systems) ohne Einschränkung zur Erstellung von qualifizierten Signaturen nutzbar.

Auch das EGVP arbeitet mit einem Zertifikat. Diese Zertifikat ist völlig unabhängig vom Zertifikat der Signaturkarte. Dieses wurde beim Einrichten in EGVP erstellt. Auch dieses Zertifikate läuft aus und Sie bekommen in EGVP einen entsprechenden Warnhinweis oder eine Fehlermeldung.

Da das EGVP-Zertifikat (nahezu) die selbe Laufzeit wie Ihre Signaturkarte hat, erscheint diese Fehlermeldung nahezu zeitgleich mit dem Einsatz der neuen Signaturkarte. Es scheint so, als würde der Einsatz der neuen Signaturkarte das EGVP-Zertifikat beeinflussen. Tatsächlich sind dies aber zwei völlig unabhängige Zertifikate.

Bei EGVP können/müssen Sie Ihr EGVP-Zertifikat in Ihrem Postfach selbständig bearbeiten/verwalten. Leider können wir Ihnen bei Fehlermeldungen im EGVP nicht weiter helfen, da wir ausschließlich für die Signaturkarten und deren Zertifikate zuständig sind.

Bitte wenden Sie sich bei Fehlermeldungen in EGVP an den Support des EGVP, den Sie unter 01805 -34 87 78 erreichen.

Um mit dem EGVP arbeiten zu können, benötigen Sie ein Signaturkarte (für die Authentisierung bei EGVP) und ein Kartenlesegerät. Diese Komponenten haben Sie z. B. bei uns erworben. Um mit Ihrer Signaturkarte auch weitere PDF-Dokumente außerhalb des EGVP zu signieren, benötigen Sie eine Signaturanwendungskomponente (SAK), zum Beispiel Sign Live! CC.

• Sollten Sie Fragen zu EGVP haben, betreffend Einrichtung, Nutzung etc., wenden Sie sich bitte direkt an EGVP. Viele Informationen erhalten Sie bereits auf der Homepage des EGVP unter www.egvp.de.
  Sie erreichen den EGVP-Support auch telefonisch unter 0 18 05 - 34 87 78,  Mo. bis Fr. von 09:00 bis 17:00 Uhr (Kosten: 0,14 € / Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 € / Min.).
   
• Sollten Sie Fragen zu Sign Live! CC wegen Signatur haben, wenden Sie sich bitte per Mail an support@intarsys.de.
  Sie erreichen uns auch telefonisch unter 09001 - 384790,  Mo. bis Fr. von 09:00 bis 16:00 Uhr (Kosten: 1,99 € / Min. aus dem dt. Festnetz, Mobilfunkpreise können abweichen).

Dieses Verhalten kann Timing-bedingt auftreten.
Bitte von der Download-Area den "kumulativen Patch 2" entsprechend dem von Ihnen genutzen Betriebssystem herunter laden.

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libpcsclite, die für die Kommunikation mit einem Kartenleser notwendig ist, nicht mehr enthalten. Das Package libpcsclite-dev muss nachinstalliert werden.

Voraussetzungen:

• Eintrag der E-Mailadresse in das Zertifikat Ihrer Signaturkarte (Smartcard).
  Das Signieren von E-Mails mit Ihrer Signaturkarte setzt voraus, dass Sie Ihre E-Mailadresse in das Zertifikat Ihrer Signaturkarte eingetragen ist. Diesen Eintrag haben Sie bei der Beantragung Ihrer Signaturkarte ausdrücklich angegeben. Standardmäßig werden die Signaturkarten ohne den Eintrag der E-Mailadresse erzeugt. Ob dieser Eintrag erfolgt ist, entnehmen Sie der Kopie Ihres Signaturkartenantrags. Ein nachträglicher Eintrag ist nicht möglich. Haben Sie bei Neukartenantrag diese Option versäumt, können Sie dies durch einen kostenpflichtigen Erstatzkartenantrag nachholen. 

• WINDOWS XP (32-Bit)
  Um Mails in Outlook zu signieren wird ein CSP (Crypto Service Provider) und/oder ein Minidriver (läuft im Microsoft BASE-CSP) benötigt. Dies ist derzeit nur unter WINDOWS XP (32 bit) realisiert.
• Die SmartCard ist in Outlook eingerichtet.

Treiber und Downloads:

Wenn oben genannte Voraussetzungen erfüllt sind, benötigen Sie eventuell nach diverse Treiber der TeleSec. Diese finden Sie unter nachfolgenden Links:

TCOS Card Modul zum Microsoft ® Smartcard BaseCSP: www.telesec.de/tcos/cardmodul.html

PKCS#11 SDK: www.telesec.de/tcos/pkcs11.html

Die Anleitungen "Anwendung der Smartcards und deren Zertifikate innerhalb Mozilla Firefox.pdf" hat folgenden Download:
www.telesec.de/tcos/Tutorien/Anwendung_der_Smartcards_und_deren_Zertifikate_innerhalb_Mozilla_Firefox.pdf

Einrichten von Microsoft Office 2003 für die Nutzung mit Smartcards: www.telesec.de/tcos/Tutorien/Einrichten_von_Microsoft_Office_2003_fuer_die_Nutzung_mit_Smartcards.pdf

Hinweise zu Sign Live! CC: 

Die Freigabe von Sign Live! CC für den Einsatz unter Windows 8 ist unsererseits für das Release 6.1 vorgesehen, welches Anfang III/2013 erscheinen wird. Leider können wir jedoch derzeit keine Angaben dazu machen, wann der Smartcard-Minidriver für Windows 8 verfügbar und damit das integrierte Signieren aus Outlook möglich sein wird. Wir bitten Sie, im Zweifelsfall die Release Notes zu Sign Live! CC auf unserem Downloadseite regelmäßig zu prüfen.

So importieren Sie ein Zertifikat in Sign Live! CC:

• Starten Sie Sign Live! CC und wählen Sie
  Menüpunkt EXTRAS-->Zertifkate-->Zertifikatsverwaltung.
• Markieren Sie die Gruppe in der das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol um den Eintrag hinzuzufügen.
• Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie "Weiter".
• Folgen Sie den weiteren Anweisungen.

Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Dieser werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigenen Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen speichern Sie das Zertifikat in diese neue Gruppe und exportieren es von dort aus.

So exportieren Sie ein Zertifikate von Ihrer Siganturkarte mit Hilfe von Sign Live! CC.

• Starten Sie Sign Live! CC und dort EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Die Symbole für die Bearbeitung werden links oben angezeigt.
• Klicken Sie auf das erste Symbol um eine neue Gruppe zu erstellen.
  (Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster "Filter" auf einen weißen Bereich).
  
• Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. "Meine Zertifikate" und bestätigen Sie mit "Schließen".
• Wählen Sie nochmals Menüpunkt EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Markieren Sie nun die neue Gruppe "Meine Zertifikate".
  (Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.)
• Klicken Sie auf das Symbol "Eintrag hinzufügen".
  Wählen Sie die Aktion "Zertifikat von einer SmartCard importieren" und "Weiter".
  Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt.
• Wählen Sie das gewünschte Zertifikat aus und "Weiter".
  (Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat "qualifizierte Signatur" zu wählen.)
• Im nächsten Fenster haben Sie die Gelegenheit das Zertifiakt zu benennen oder Standardbezeichner zu übernehmen.
• Bitte markieren Sie im nächsten Fenster das Zertifikat als "vertrauenswürdig".
• Nach "Fertigstellen" wird das ausgewählte Zertifikat in die Gruppe eingetragen.
• Nun können Sie mit dem Symbol für "Eintrag exportieren" das Zertifikat in ein beliebiges Verzeichnis speichern.

Das exportiere Zertifikat können Sie z. B. per Mail einer dritten Person zur Verfügung stellen. Der Empänger muss das Zertifikat in seine Software importieren.

Wie Sie ein Zertifikat in Sign Live! importieren wird in der FAQ "Zertifikate importieren" beschrieben.

Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.
  

Die PKS-ECC-Signaturkarte ist ein neu entwickeltes Produkt um den so genannten "Stand der Technik" einzuhalten. Der "Stand der Technik" für Signaturkarten wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur im Algorithmenkatalog festgelegt. Der für die qualifizierte Signatur bisher genutzte Kartentyp (PKS-CLASSIC-Signaturkarte) ist für die qualifizierte Signatur  nur noch bis zum 31.12.2015 zugelassen. Andere Signaturarten, z. B. fortgeschrittene Signatur, sind von dieser Änderung derzeit nicht betroffen.

Die neue PKS-ECC-Signaturkarte nutzt eine neuere Technologie zur Signaturerstellung (ähnlich der, die auch der neue Personalausweis verwendet). Neben dieser Anpassung enthält die neue Signaturkarte aber auch geänderte Funktionen. Für Besitzer von Multisignaturkarten ist die Geschwindigkeit der neuen PKS-ECC-Multisignaturkarte besonders interessant. Die neue PKS-ECC-Multisignaturkarte erstellt, nach Durchführung der PIN-Prüfung, in der gleichen Zeit bis zu 10 mal so viele Signaturen wie die PKS-CLASSIC-Signaturkarte.

Durch Einführung der PKS-ECC-Signaturkarte ist leider nicht auszuschließen, dass es zu Inkompatibilitäten kommen kann.

Sign Live! CC unterstützt sowohl die PKS-ECC-Signaturkarte wie auch die PKS-CLASSIC-Signaturkarte.
Über den intarsys shop ist die PKS-ECC-Signaturkarte zu beziehen.

Wichtiger Hinweis (Stand April 2013):
Nach unserem Kenntnisstand kann die neue PKS-ECC-Signaturkarte noch nicht für die Erstellung von Abfallbegleitscheinen oder die elektronische Steuererklärung mit ELSTER genutzt werden. Wenn Sie in diesem Bereich arbeiten, erkundigen Sie sich bei Ihrem Softwarehersteller über den Einsatz der neuen PKS-ECC-Signaturkarte oder bestellen Sie die PKS-CLASSIC-Signaturkarte.

Trustcenter benötigen zur Ausstellung eines qualifizierten Zertifikates auf jeden Fall eine Ausweiskopie von Ihnen. Wenn Sie möchten, dann können Sie auf der Kopie die Felder Augenfarbe, Größe und die Berechtigungsnummer schwärzen. Alle anderen Angaben auf dem Ausweis benötigen wir jedoch. Sollte ein Registrierungsmitarbeiter von Ihnen jedoch die Herausgabe Ihres Ausweises, zum Zweck des Kopierens, verlangen, so können Sie dies ablehnen. Es ist gesetzlich festgelegt, das Sie niemand dazu zwingen darf Ihren Ausweis an ihn abzugeben oder bei ihm zu hinterlegen. Sie sollten in diesem Fall den Registrierungsmitarbeiter zum Kopierer begleiten so dass er die Kopie in Ihrem Beisein ausführt.

Unterschied:
Das "Attribut im Hauptzertifikat" ist fester, unabänderlicher Bestandteil des Hauptzertifikats und wird bei jeder Signatur eingefügt.
Das "qualifizierte Attribut-Zertifikat" ist ein eigenes Zertifikat, mit fester Referenz zum Hauptzertifikat. Sie können bei jedem Signiervorgang entscheiden, ob Sie das Attributszertifikat anhängen oder nicht.

Beantragung:
Ein "Attribut im Hauptzertifikat" kann nur zusammen mit dem Hauptzertifikat beantragt werden. Eine nachträgliche Eintragung ist nicht möglich.
Ein "qualifiziertes Attributszertifikat" kann auch nachträglich beantragt werden.

Diese Überprüfung ist auf Grund von Anforderungen der Browser Hersteller (Microsoft, Mozilla) erforderlich. Damit wird sichergestellt, daß nur Sie als Eigentümer Ihrer Emailadresse eine Signaturkarte bekommen können, die diese Emailadresse enthält.

Diese Überprüfung erfolgt dadurch, daß Ihnen eine E-Mail an die angegebene Adresse zur Aufnahme ins Zertifikat bei Kartenantrag zugeht. Diese E-Mail enthält eine achtstellige Prüfnummer, die Sie handschriftlich auf Ihren PKS-Auftrag übernehmen müssen. Sollte Ihr Auftrag ohne diese Prüfnummer eingehen, wird eine Signaturkarte ohne Emailadresse produziert. Ein nachträgliches Eintragen der Emailadresse auf einer Signaturkarte ist nicht möglich.

Wenn Sie nachträglich die Eintragung Ihrer Emailadresse benötigen, so geht dies nur über die Beauftragung einer kostenpflichtigen Ersatzkarte gemäß aktueller Preisliste des TrustCenters.

nach unserer Erfahrung kann Adobe Reader nicht vollständig mit indirekten Sperrlisten (CRLs) umgehen. Dies führt dazu, dass die Überprüfung qualifizierter Zertifikate deutscher Trust Center nur eingeschränkt ermöglicht ist. 

Ein wenig zum Hintergrund:
CRLs lassen sich in direkte und indirekte CRLs unterscheiden. Charakteristisch für direkte CRLs ist, dass sowohl das zu prüfende Zertifikat als auch die Sperrliste vom selben Ausstellerzertifikat signiert wurden. Im Falle indirekter CRLs hingegen unterscheiden sich die Aussteller von Zertifikat und Sperrliste. Der Common PKI Standard sieht vor, dass in diesem Falle der CRL-Aussteller explizit im zu prüfenden Zertifikat benannt sein muss. Dies ist jedoch bei den Zertifikaten der Bundesnetzagentur und aller qualifizierten / akkreditierten Anbieter in Deutschland nicht gegeben, was – der Fehlermeldung "Aussteller der Zertifikatssperrliste weicht ab" (in Adobe Acrobat / Reader einzusehen) zufolge – zu einem Prüffehler bei Adobe führt.

Das von deutschen Anbietern praktizierte Ausgabemuster für Zertifikate und Sperrlisten ist dennoch korrekt, da dieses durch eine Profilierung des Common PKI Standards (SigG Profile) gerechtfertigt wird. Dieses lässt den Wegfall des CRL-Ausstellernamens auch bei Nutzung indirekter CRLs zu, um mehr Flexibilität bei der Ausstellung von Dienstzertifikaten zu erreichen. Der Adobe Reader scheint diesen Sonderfall jedoch nicht zu berücksichtigen. Ähnliche Einschränkungen gelten für die Sperrprüfung mittels Online Certificate Status Protocol (OCSP). 

Zusammenfassend lässt sich sagen, dass die Sperrprüfung in Adobe unvollständig scheint und den deutschen Gegebenheiten nicht gerecht wird. Eine Einflussnahme auf das Signaturprüfverfahren beim Dokumentenempfänger ist unseres Wissens nicht möglich, so dass wir Ihnen leider keine Möglichkeit nennen können, um unter Garantie zu einem positiven Prüfergebnis für die bekanntlich gültige Signatur zu kommen.

Der Anwender könnte die Sperrprüfung in seinen Anwendungseinstellungen generell deaktivieren, beeinträchtigt damit aber die Sicherheit der Signaturprüfung in Adobe Reader generell. Die Deaktivierung erfolgt in Adobe Reader unter "Bearbeiten > Voreinstellungen > Sicherheit > Erweiterte Sicherheit" durch Deaktivierung des Kontrollkästchens "Beim Prüfen von Unterschriften nach Möglichkeit immer feststellen, ob das zugehörige Zertifikat gesperrt wurde".

Für weitere Informationen zum Adobe Reader wenden Sie sich bitte dirket an Adobe.

Für eine zuverlässige Prüfung qualifizierter Signaturen empfiehlt es sich, eine sichere Signaturanwendungskomponente (gem. SigG/SigV) wie z.B. Sign Live! CC einzusetzen.
Unsere kostenlose Validierungssoftware "Sign Live" CC validation client (free)" steht für Sie unter https://www.intarsys.de/sw_dl_p zum Downlaod bereit.

Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Dieser werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigenen Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen speichern Sie das Zertifikat in diese neue Gruppe und exportieren es von dort aus.

So exportieren Sie ein Zertifikate von Ihrer Siganturkarte mit Hilfe von Sign Live! CC.

• Starten Sie Sign Live! CC und dort EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Die Symbole für die Bearbeitung werden links oben angezeigt.
• Klicken Sie auf das erste Symbol um eine neue Gruppe zu erstellen.
  (Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster "Filter" auf einen weißen Bereich).
  
• Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. "Meine Zertifikate" und bestätigen Sie mit "Schließen".
• Wählen Sie nochmals Menüpunkt EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Markieren Sie nun die neue Gruppe "Meine Zertifikate".
  (Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.)
• Klicken Sie auf das Symbol "Eintrag hinzufügen".
  Wählen Sie die Aktion "Zertifikat von einer SmartCard importieren" und "Weiter".
  Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt.
• Wählen Sie das gewünschte Zertifikat aus und "Weiter".
  (Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat "qualifizierte Signatur" zu wählen.)
• Im nächsten Fenster haben Sie die Gelegenheit das Zertifiakt zu benennen oder Standardbezeichner zu übernehmen.
• Bitte markieren Sie im nächsten Fenster das Zertifikat als "vertrauenswürdig".
• Nach "Fertigstellen" wird das ausgewählte Zertifikat in die Gruppe eingetragen.
• Nun können Sie mit dem Symbol für "Eintrag exportieren" das Zertifikat in ein beliebiges Verzeichnis speichern.

Das exportiere Zertifikat können Sie z. B. per Mail einer dritten Person zur Verfügung stellen. Der Empänger muss das Zertifikat in seine Software importieren.

Wie Sie ein Zertifikat in Sign Live! importieren wird in der FAQ "Zertifikate importieren" beschrieben.

Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.
  

So importieren Sie ein Zertifikat in Sign Live! CC:

• Starten Sie Sign Live! CC und wählen Sie
  Menüpunkt EXTRAS-->Zertifkate-->Zertifikatsverwaltung.
• Markieren Sie die Gruppe in der das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol um den Eintrag hinzuzufügen.
• Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie "Weiter".
• Folgen Sie den weiteren Anweisungen.

Für die Validierung von Signaturen einzelner Dokumente können Sie unsere Validierungssoftware „Sign Live! CC validate“ nutzen die Sie hier herunterladen und installieren können. Die Verwendung ist kostenfrei!
 

Bevor Sie als Unternehmer elektronische Rechnung verbuchen können müssen Sie die darin enthaltene Signatur prüfen und ein Validierungsprotokoll erstellen. Dieses Validierungsprotokoll archivieren Sie zusammen mit der Rechnung.

Wenn Sie mit "Sign Live! CC" Ihre qualifizierten Signaturen erstellen, steht Ihnen diese Funktion bereits zur Verfügung.

Für die ausschließliche Validierung von Signaturen einzelner Dokumente können Sie unsere Validierungssoftware „Sign Live! CC validate“ nutzen die Sie hier herunterladen und installieren können. Die Verwendung ist kostenfrei!

Auf dem Validierungsbericht von Sign Live! CC steht am Ende, dass das Schalenmodell zur Prüfung angewendet wird.
Laut einer Antwort in den FAQ der Bundesnetzagentur ist für qualifizierte elektronische Signaturen das Kettenmodell vorgeschrieben. Zitat: "Für tatsächliche Unterschriften (d.h. qualifizierte Signaturen) sieht das Signaturgesetz deshalb das sog. Kettenmodell der Gültigkeit vor (siehe § 16 (1) und § 19 (5) SigG), bei dem eine erfolgreiche Verifikation der geleisteten Signatur auch über lange Zeiträume hinweg in die Vergangenheit möglich ist."

Beim Kettenmodell handelt es sich also um eine Vorgabe der BNetzA.

Der Prüfalgorithmus in Sign Live! CC gem. Schalenmodell geht jedoch weiter:

Das Schalenmodell ist restriktiver als das Kettenmodell, d.h. eine Signatur, die gemäß Schalenmodell gültig ist, ist immer auch gemäß Kettenmodell gültig. In der umgekehrten Betrachtung verhält es sich jedoch anders, denn eine nach Schalenmodell ungültige Signatur ist nicht zwangsläufig auch nach Kettenmodell ungültig.

Validiert nun Sign Live! CC eine Signatur zunächst nach Schalenmodell und stellt fest, dass diese ungültig ist, so unternimmt die Anwendung einen zweiten Prüfdurchgang nach Kettenmodell. Genügt die Signatur diesem Gültigkeitsmodell, so wird als Ergebnis der Status "gültig" und als Prüfmodell das "Kettenmodell" dokumentiert. Auf diese Weise beziehen wir das (international geläufigere) Schalen- bzw. Hybridmodell in unsere Validierung ein, genügen aber gleichzeitig dem u.g. Gesetzestext.

Darüber hinaus wurde die Validierung jedoch zur Version 5.1 bereits angepasst. Wenn ein Zertifikat die Prüfmethode "Kettenmodell" explizit in einer X509-Erweiterung statuiert, dann führen wir nun ausschließlich eine Prüfung nach diesem Modell durch. Dies verbessert die Performanz der Anwendung an dieser Stelle, wirkt sich jedoch im Vergleich zum oben geschilderten Vorgehen nicht auf die Akzeptanzkriterien einer Signatur aus.

Beim Validieren von Signaturen werden die Sperrlisten automatisch aktualisiert, sofern dies in Sign Live! CC aktiviert (Menü "EXTRAS Einstellungen - Zertifikate - Sperrlisten") ist.

Über den Menüpunkt "EXTRAS - Zertifikate - Sperrlistenverwaltung" können Sie die Sperrlisten manuell aktualisieren.

Das Datum der nächsten Aktualisierung obliegt dem Trustcenter. Dieses Datum wird in der Sperrliste des Trustcenters hinterlegt. Sollte dies in der Vergangenheit liegen, wird dies bei Sign Live! CC als Hinweissymbol angezeigt.

Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.

Um die Betriebssprache von Sign Live! CC zu manipulieren benötigen Sie Administratorenrechte.
Gehen Sie folgendermaßen vor:

1. Beenden Sie Sign Live! CC.
2. Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen "C:\Programme\Sign Live CC 6.x" oder "C:\Programme (x86)\Sign Live CC 6.x".
3. Navigieren Sie weiter in das Unterverzeichnis "demo\SignLive\vmoptions\language english".
4. Kopieren Sie aus diesem Verzeichnis die Datei "SignLiveCC.exe.vmoptions".
5. Wechseln Sie in das Unterverzeichnis "bin" des Installationsverzeichnisses von Sign Live! CC und legen Sie eine Sicherungskopie der bestehenden Datei "SignLiveCC.exe.vmoptions" ein.
6. Fügen Sie anschließend die kopierte Datei in dieses Verzeichnis ein.
7. Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.

Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC in englisch dargestellt.

Voraussetzungen:

• Eintrag der E-Mailadresse in das Zertifikat Ihrer Signaturkarte (Smartcard).
  Das Signieren von E-Mails mit Ihrer Signaturkarte setzt voraus, dass Sie Ihre E-Mailadresse in das Zertifikat Ihrer Signaturkarte eingetragen ist. Diesen Eintrag haben Sie bei der Beantragung Ihrer Signaturkarte ausdrücklich angegeben. Standardmäßig werden die Signaturkarten ohne den Eintrag der E-Mailadresse erzeugt. Ob dieser Eintrag erfolgt ist, entnehmen Sie der Kopie Ihres Signaturkartenantrags. Ein nachträglicher Eintrag ist nicht möglich. Haben Sie bei Neukartenantrag diese Option versäumt, können Sie dies durch einen kostenpflichtigen Erstatzkartenantrag nachholen. 

• WINDOWS XP (32-Bit)
  Um Mails in Outlook zu signieren wird ein CSP (Crypto Service Provider) und/oder ein Minidriver (läuft im Microsoft BASE-CSP) benötigt. Dies ist derzeit nur unter WINDOWS XP (32 bit) realisiert.
• Die SmartCard ist in Outlook eingerichtet.

Treiber und Downloads:

Wenn oben genannte Voraussetzungen erfüllt sind, benötigen Sie eventuell nach diverse Treiber der TeleSec. Diese finden Sie unter nachfolgenden Links:

TCOS Card Modul zum Microsoft ® Smartcard BaseCSP: www.telesec.de/tcos/cardmodul.html

PKCS#11 SDK: www.telesec.de/tcos/pkcs11.html

Die Anleitungen "Anwendung der Smartcards und deren Zertifikate innerhalb Mozilla Firefox.pdf" hat folgenden Download:
www.telesec.de/tcos/Tutorien/Anwendung_der_Smartcards_und_deren_Zertifikate_innerhalb_Mozilla_Firefox.pdf

Einrichten von Microsoft Office 2003 für die Nutzung mit Smartcards: www.telesec.de/tcos/Tutorien/Einrichten_von_Microsoft_Office_2003_fuer_die_Nutzung_mit_Smartcards.pdf

Hinweise zu Sign Live! CC: 

Die Freigabe von Sign Live! CC für den Einsatz unter Windows 8 ist unsererseits für das Release 6.1 vorgesehen, welches Anfang III/2013 erscheinen wird. Leider können wir jedoch derzeit keine Angaben dazu machen, wann der Smartcard-Minidriver für Windows 8 verfügbar und damit das integrierte Signieren aus Outlook möglich sein wird. Wir bitten Sie, im Zweifelsfall die Release Notes zu Sign Live! CC auf unserem Downloadseite regelmäßig zu prüfen.

Folgende Voraussetzungen sollten erfüllt sein:

• Auf Ihrem nPA ist das Signaturzertifikat hinterlegt
• Sie haben sich das Zertifikat mit der Software "signMe" auf Ihren nPA geladen
• Sie haben als Kartenlesegerät einen. REINER SCT RFID im Einsatz.

So signieren Sie dann mit "Sign Live! CC"

• Öffnen Sie das zu signierende Dokument.
• Wählen Sie die Funktion 'Dokument signieren' unter Werkzeuge -> Signaturfunktion oder aus der Werkzeugleiste.
• Wählen Sie die Art der Signatur: PDF Signatur oder PKCS#7 Signatur. Achtung, die PDF-Signatur kann nicht von Acrobat Reader validiert werden, da der Reader keine elliptische Kurven Kryptographie unterstützt, die der neue Personalausweis verwendet.
• Folgen Sie den dokumentspezifischen Dialogseiten.
• Auf der Seite 'Signaturgerät' wählen Sie 'signIT smartcard CC'.
• Wählen Sie den Kartenleser aus. Stecken Sie den Personalausweis in den Kartenleser, so dass Sie die 6-stelligen Kartenzugangsnummer lesen können. Diese steht rechts neben dem 'Gültig bis' Datum.
• Ein Dialog sollte erscheinen, der Sie auffordert die Kartenzugangsnummer einzugeben. Auf dem Kartenleser erscheint je nach Version folgende Texte:
• "Signaturen zulassen?" -> mit OK bestätigen. Darauf folgt der Text "CAN" (bei älterer Firmware) oder "Kartenzugangsnummer". Geben Sie jetzt die 6-stelligen Kartenzugangsnummer ein und bestätigen Sie diese mit OK.
• Ihr Zertifikat sollte jetzt im SignLive! CC Dialog erscheinen.
• Falls Sie eine falsche PIN eingeben, kann das Zertifikat nicht ausgelesen werden und im Dialog erscheint "Es sind keine Identitäten auf der Karte vorhanden ...".
• Falls Sie mehrmals die falsche PIN als Kartenzugangsnummer eingegeben haben, kann diese gesperrt sein. Dann gibt es ein spezielles Vorgehen die Kartenzugangsnummer zu entsperren. Folgen Sie in diesem Fall den Anweisungen des Kartenlesers.
• Wählen Sie ihr Zertifikat im Dialog aus und drücken Sie auf 'Fertig stellen'.
• Ein Dialog erscheint, der Sie auffordert jetzt ihre Signatur-PIN auf dem Kartenleser einzugeben. Dannach wird das Dokument signiert.

Lesen Sie dazu in der Hilfe von "Sign Live! CC" auch das Kapitel "Signaturgeräte signIT smartcard CC".

Durch die kontaktlose Schnittstelle des neuen Personalausweises und die erhöhten Sicherheitsanforderungen (Kartenzugangsnummer, dann Signatur-PIN), ist der Ablauf nicht ganz so intuitiv, wie man sich das wünschen würde.

Um mit dem EGVP arbeiten zu können, benötigen Sie ein Signaturkarte (für die Authentisierung bei EGVP) und ein Kartenlesegerät. Diese Komponenten haben Sie z. B. bei uns erworben. Um mit Ihrer Signaturkarte auch weitere PDF-Dokumente außerhalb des EGVP zu signieren, benötigen Sie eine Signaturanwendungskomponente (SAK), zum Beispiel Sign Live! CC.

• Sollten Sie Fragen zu EGVP haben, betreffend Einrichtung, Nutzung etc., wenden Sie sich bitte direkt an EGVP. Viele Informationen erhalten Sie bereits auf der Homepage des EGVP unter www.egvp.de.
  Sie erreichen den EGVP-Support auch telefonisch unter 0 18 05 - 34 87 78,  Mo. bis Fr. von 09:00 bis 17:00 Uhr (Kosten: 0,14 € / Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 € / Min.).
   
• Sollten Sie Fragen zu Sign Live! CC wegen Signatur haben, wenden Sie sich bitte per Mail an support@intarsys.de.
  Sie erreichen uns auch telefonisch unter 09001 - 384790,  Mo. bis Fr. von 09:00 bis 16:00 Uhr (Kosten: 1,99 € / Min. aus dem dt. Festnetz, Mobilfunkpreise können abweichen).

In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libpcsclite, die für die Kommunikation mit einem Kartenleser notwendig ist, nicht mehr enthalten. Das Package libpcsclite-dev muss nachinstalliert werden.

So importieren Sie ein Zertifikat in Sign Live! CC:

• Starten Sie Sign Live! CC und wählen Sie
  Menüpunkt EXTRAS-->Zertifkate-->Zertifikatsverwaltung.
• Markieren Sie die Gruppe in der das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol um den Eintrag hinzuzufügen.
• Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie "Weiter".
• Folgen Sie den weiteren Anweisungen.

Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Dieser werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigenen Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen speichern Sie das Zertifikat in diese neue Gruppe und exportieren es von dort aus.

So exportieren Sie ein Zertifikate von Ihrer Siganturkarte mit Hilfe von Sign Live! CC.

• Starten Sie Sign Live! CC und dort EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Die Symbole für die Bearbeitung werden links oben angezeigt.
• Klicken Sie auf das erste Symbol um eine neue Gruppe zu erstellen.
  (Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster "Filter" auf einen weißen Bereich).
  
• Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. "Meine Zertifikate" und bestätigen Sie mit "Schließen".
• Wählen Sie nochmals Menüpunkt EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Markieren Sie nun die neue Gruppe "Meine Zertifikate".
  (Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.)
• Klicken Sie auf das Symbol "Eintrag hinzufügen".
  Wählen Sie die Aktion "Zertifikat von einer SmartCard importieren" und "Weiter".
  Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt.
• Wählen Sie das gewünschte Zertifikat aus und "Weiter".
  (Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat "qualifizierte Signatur" zu wählen.)
• Im nächsten Fenster haben Sie die Gelegenheit das Zertifiakt zu benennen oder Standardbezeichner zu übernehmen.
• Bitte markieren Sie im nächsten Fenster das Zertifikat als "vertrauenswürdig".
• Nach "Fertigstellen" wird das ausgewählte Zertifikat in die Gruppe eingetragen.
• Nun können Sie mit dem Symbol für "Eintrag exportieren" das Zertifikat in ein beliebiges Verzeichnis speichern.

Das exportiere Zertifikat können Sie z. B. per Mail einer dritten Person zur Verfügung stellen. Der Empänger muss das Zertifikat in seine Software importieren.

Wie Sie ein Zertifikat in Sign Live! importieren wird in der FAQ "Zertifikate importieren" beschrieben.

Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.