Frequently Asked Questions - Signieren und Validieren

Erzeugung von Signaturen, Signaturvalidierung, Validierungsprotokolle etc.

Am 01.07.2017 tritt die eIDAS-Verordnung in Kraft. Die TRUST-Center (Telesec, D-TRUST etc.) passen daher ihre Zertifikate an. Dies kann dazu führen, dass diverse Signaturen  nicht mehr gültig validiert werden. Je nach eingesetzter Version, sind in Sign Live! CC folgende Vorkehrungen zu treffen:

  • Version 6.2.x
    Für Kunden, die noch die Version 6.x im Einsatz haben, ist ein Zertifikatsupdate erforderlich.
    Als Kunde mit Wartungsvertrag steht das Zertifikatsupdate im Downloadbereich für Sie bereit. Melden Sie sich bitte auf unserer Homepage an. Das Zertifikatsupdate finden Sie hier.

    Sollten Sie sich nicht sicher sein, ob Sie einen Wartungsvertrag mit uns abgeschlossen haben, benötigen wir Ihren Firmennamen. Bitte senden Sie diese Informationen an unseren Support.

  • Version 7.0.x
    eine Aktualisierung der Vertrauenslisten (Menü Extras > Zertifikate > Vertrauenslisten aktualisieren) behebt das Problem.

 

Stand: 29.06.2017

Wenn Sie Ihren Kontoauszug in der Sign Live! CC Sparkassen-Edition öffnen, sollte dieser automatisch validiert werden. Dies kann einige Sekunden in Anspruch nehmen. Sobald dieser Vorgang abgeschlossen ist, sehen Sie im linken Bildschirmbereich auf der „Seitenleiste“, dass die Sigantur gültig ist.

Wenn Sie nun das Validierungsprotokoll erstellen steht auch dort im Bereich Signaturen „Die Unterschrift ist qualifiziert und gültig“.

Sollten Sie im Validierungsprotokoll auf der zweiten Seite Hinweise in roter Schrift den Hinweis „Die Identität ist unbekannt, weil das Zertifikat selbst bzw. keines der übergeordneten Identitäten vertrauenbswürdig ist.“ erhalten, so ist die ein Hinweis, der durch die Umstellung auf eIDAS angezeigt wird.

  • Bitte installieren Sie in diesem Fall die Sign Live! CC Sparkassen-Edition Version 7.0.2, die Ihnen Ihre Sparkasse kostenlos zur Verfügung stellt.
  • Die Sign Live! CC Sparkassen Edition Version 7.0.2. wird automatisch in ein neues Verzeichnis installiert, so dass die alte Version 6.3.2 problemlos deinstalliert werden kann.

 

Erstellt: 10.07.2017
Aktualisiert: 18.07.2017

Die Sign Live! CC Sparkassen-Edition wurde ausschließlich für Windows programmiert.
Die Kunden die MacOS X nutzen, können gerne die Software für Mac unter https://www.intarsys.de/dl_slcc herunter laden. Auch ohne Lizenz können mit Sign Live! CC Signaturen geprüft werden.

Folgende Unterschiede gibt es zur Sparkassen-Edition:

  • Bei der Installation wird nach einem Produktschlüssel gefragt. Diese Abfrage kann übersprungen werden.
  • Die Prüfprotokolle als PDF können nur mit Wasserzeichen und Hinweis auf eine Demo-Version erzeugt werden.

Zur interaktiven Prüfung von Signaturen kann diese Lösung analog zur Sign Live! CC Sparkassen-Edition verwendet werden.

 

Stand: März 2017

Folgende Voraussetzungen sollten erfüllt sein:

  • Auf Ihrem nPA ist das Signaturzertifikat hinterlegt
  • Sie haben sich das Zertifikat auf Ihren nPA geladen (z. B. mit der Software „signMe“)
  • Sie haben die von Ihnen vergebene persönliche PIN zur Hand.
  • Sie haben als Kartenlesegerät einen REINER SCT RFID komfort im Einsatz.

So signieren Sie in Sign Live! CC mit Ihrem nPA

  • Öffnen Sie das zu signierende Dokument.
  • Wählen Sie die Funktion ‚Dokument signieren‘ unter Werkzeuge -> Signaturfunktion oder aus der Werkzeugleiste.
  • Wählen Sie die Art der Signatur: PDF Signatur oder PKCS#7 Signatur.
    Hinweis: die PDF-Signatur kann nicht von Acrobat Reader validiert werden, da der Reader keine elliptische Kurven Kryptografie unterstützt. Diese werden vom neuen Personalausweis verwendet.
  • Folgen Sie den dokumentspezifischen Dialogseiten.
  • Auf der Seite ‚Signaturgerät‘ wählen Sie ‚signIT smartcard CC‘.
  • Wählen Sie den Kartenleser aus. Stecken Sie den Personalausweis in den Kartenleser, so dass Sie die 6-stellige Kartenzugangsnummer (CAN) lesen können. Diese steht rechts neben dem ‚Gültig bis‘ Datum.
  • Im Dialog von Sign Live! CC werden Sie aufgefordert die Kartenzugangsnummer einzugeben. Auf dem Display Kartenleser erscheint je nach Version folgende Texte:
    - „Signaturen zulassen?“ -> Die auf dem Kartenleser mit OK bestätigen.
    - Darauf folgt auf dem Kartenser der Text „CAN“ (bei älterer Firmware) oder „Kartenzugangsnummer“. Geben Sie jetzt die 6-stellige Kartenzugangsnummer (CAN) von Ihrem nPA ein und bestätigen Sie diese mit der OK-Taste des Kartenlesers. Die CAN ist auf Ihrem nPA rechts neben „Gültig bis“ aufgedruckt.
  • Auf derm Kartenleser erscheint der Text „Bitte warten, Tunnelaufbau“ und dann „Tunnel aktiv“.
    In Sign Live! CC sollte Ihr Zertifikat im SignLive! CC erscheinen.Drücken Sie in Sign Live! CC auf  [Weiter], beziehungsweise [Fertig stellen].
  • Sie werden nun zur Eingabe der Signatur-PIN aufgefordert. Geben Sie diese ein und bestätigen Sie mit der [OK]-Taste auf dem Kartenlesegerät.
    Falls Sie eine falsche PIN eingeben, kann das Zertifikat nicht ausgelesen werden und im Dialog erscheint „Es sind keine Identitäten auf der Karte vorhanden …“.
    Falls Sie mehrmals die falsche PIN als Kartenzugangsnummer eingegeben haben, kann diese gesperrt sein.
  • Das Dokument ist nun signiert.

Lesen Sie bitte auch in der Hilfe von „Sign Live! CC“ das Kapitel „Signaturgeräte signIT smartcard CC“.

Durch die kontaktlose Schnittstelle des neuen Personalausweises und die erhöhten Sicherheitsanforderungen (Kartenzugangsnummer, dann Signatur-PIN), ist der Ablauf nicht ganz so intuitiv, wie man sich das wünschen würde.

Zuletzt geändert: Juli 2015

Sie sind sich sicher:
Sie haben Ihr Signaturzertifikat auf Ihren neuen Personalausweis (nPA) geladen. Trotzdem erscheint beim Signieren mit dem nPA in Sign Live! CC im Dialogfenster „Identität“ die Fehlermeldung „Die Karte wird für diese Funktion nicht unterstützt“?

Das liegt wahrscheinlich daran, dass Sie übersehen haben auf dem Kartenleser die Frage „Signaturen zulassen“ mit OK zu bestätigen. Nach ca. 20 Sekunden bricht der Vorgang ab und es erscheint oben genannte Fehlermeldung auf Ihrem Bildschirm.

Stand: August 2015

 

Für die qualifizierte elektronische Signatur benötigen Sie neben der Software zusätzlich eine Signaturkarte und ein Kartenlesegerät der Klasse III.
Signaturkarten erhalten Sie von Zertifizierungsdiensteanbietern (ZDA) - früher Trustcenter.

  • Zum intarsy-Shop Erwerben Sie hier die Signaturanwendungssoftware Sign Live! CC für verschiedene Betriebssysteme.
  • Signaturkarten Bestellen Sie eine Signaturkarte der TeleSec.

Stand: Dezember 2015

Dokumente werden in Sign LIve! CC im „Trusted Mode“ signiert. Dies benötigt zusätzlichen Arbeitsspeicher und kann bei großen Dateien zur Fehlermeldung “ … Java heap space“ führen
Zum Signieren großer Dateien muss in Sign Live! CC der „Trusted Mode“ ausgeschaltet werden. Beim Öffnen der Datei wird als Dateityp „Alle Dateien (*.*)“ eingestellt.

So signieren Sie große Dateien mit Sign Live! CC:

  • Über Menüpunkt „Extras > Einstellungen > Trusted Mode“ das Kontrollkästchen „Dokumentintegrität sicherstellen“ deaktivieren.
  • Sign Live! CC neu starten.
  • Mit Menüpunkt „Datei > öffnen“ die Datei mit Sign Live! CC öffnen. Dabei bitte als Dateityp „Alle Dateien (*.*)“ einstellen.
     Die Datei wird geöffnet (erkennbar daran, dass der Dateiname im Reiter angezeigt wird), aber nicht dargestellt (Meldung: Der Inhalt des Dokuments kann nicht angezeigt werden, da das Dokumentformat unbekannt ist).
  • Über Symbol oder Menüpunkt „Werkzeuge > Signaturfunktionen > Dokument signieren“ den Signaturvorgang starten. Während des Signaturvorgangs kann die Datei mit einem Zeitstempel versehen werden, sofern der Zeitstempel eingerichtet ist. Es wird eine PKCS#7- Signatur erzeugt.

Stand: Januar 2015

Diverse Anbieter von Vertrauensdiensten (ehemals Trustcenter) bieten kostenpflichtig qualifizierte Zeitstempel mit dem höchsten Beweiswert an.

Sign Live! CC unterstützt alle gängigen Zeitstempel.

Zur Nutzung der Zeitstempel müssen Sie in Sign Live! CC zwei Aktionen durchführen:

  • Konfigurieren Sie den Zugang zum Zeitstempelanbieter
  • Konfigurieren Sie die Signatur so, dass die Zeitstempel eingebettet werden.

Der Zeitstempeldienst wird während des Signaturprozesses angeboten.

 Tutorial Zeitstempel.

Stand: Februar 2015

 

Wir haben das Anhängen der Extension für die Signaturdatei bei einer PKCS#7-Signatur ab Sign Live! CC Version 7.x überarbeitet.

Als Beispiel wird hier eine Datei TEST.PDF signiert.
Über Menüpunkt Extras > Einstellungen > Signaturen > Signaturerstellung > Signatur PKCS#7 sind hierbei folgende Einstellungen relevant:

  • Kontrollkästchen „Dateiendung ersetzen statt anhängen“ aktiv erstellt eine Signaturdatei mit dem Namen TEST.PDF.p7s
  • Kontrollkästchen „Dateiendung ersetzen statt anhängen“ nicht aktiv erstellt eine Signaturdatei mit dem Namen TEST.p7s

 

Stand: November 2016

Voraussetzungen:

  • Eintrag der E-Mailadresse in das Zertifikat Ihrer Signaturkarte (Smartcard).
    Das Signieren von E-Mails mit Ihrer Signaturkarte setzt voraus, dass Sie Ihre E-Mailadresse in das Zertifikat Ihrer Signaturkarte eingetragen ist. Diesen Eintrag haben Sie bei der Beantragung Ihrer Signaturkarte ausdrücklich angegeben. Standardmäßig werden die Signaturkarten ohne den Eintrag der E-Mailadresse erzeugt. Ob dieser Eintrag erfolgt ist, entnehmen Sie der Kopie Ihres Signaturkartenantrags. Ein nachträglicher Eintrag ist nicht möglich. Haben Sie bei Neukartenantrag diese Option versäumt, können Sie dies durch einen kostenpflichtigen Ersatzkartenantrag nachholen. 
  • WINDOWS XP (32-Bit)
    Um Mails in Outlook zu signieren wird ein CSP (Crypto Service Provider) und/oder ein Minidriver (läuft im Microsoft BASE-CSP) benötigt. Dies ist derzeit nur unter WINDOWS XP (32 bit) realisiert.
  • Die SmartCard ist in Outlook eingerichtet.

Stand: August 2015

 

 

Den Zeitstempel sehen Sie in Sign Live! CC in der Seitenleiste „Signaturübersicht“.

  • Dazu öffnen Sie die signierte Datei mit Sign Live! CC.
    Standardmäßig ist Sign Live! CC so eingestellt, dass jedes Dokument bereits beim Öffnen auf Signatur geprüft wird. Diese Prüfung kann einen Moment dauern.
  • Nach vollständiger Prüfung wird die Signaturübersicht im linken Teil des Fensters angezeigt.
    Sollte dies nicht der Fall ein, kann die Signaturübersicht im Menu „Ansicht -> Seitenleisten -> Signaturübersicht“ eingeschaltet werden.
    Im optimalen Fall sind alle Bereiche mit grünem Haken versehen.
  • Einer der Haken ist mit „Der Zeitstempel ist qualifiziert und gültig.“ beschriftet.
    Außerdem steht bei „Signiert am:“ noch der Zusatz „(Quelle: Zeitstempel)“.

Letzte Änderung: Februar 2015

Um gültig zu validieren sollte in der Anwendung festgelegt sein, dass eine Sperrlistenprüfung durchgeführt wird, und - falls diese fehl schlägt - bei einer OCSP-Prüfung (Online Statusprüfung) alle Zertifikate auf Sperrung zu prüfen sind. Mit dieser Einstellung wird Sign Live! CC ausgeliefert.

  • Falls ein Dokument trotz gültiger Signatur nicht gültig validiert wird prüfen Sie die Einstellungen. Öffnen Sie hierzu den Einstellungsdialog (Menüpunkt „Extras > Einstellungen“), navigieren Sie zur Seite „Signaturen > Signaturvalidierung > Zertifikatsvalidierung“ und beantworten Sie die Frage „Welche Zertifikate sollen mittels OCSP geprüft werden?“ mit „Alle Zertifikate“.
  • Bitte achten Sie darauf, dass die Kontrollkästchen „Sperrlistenprüfung“ und „Onlinestatusprüfung“ aktiviert sind.

Eine erneute Prüfung der Signatur sollte ein gültiges Ergebnis zur Folge haben.

Verschiedene Trustcenter haben die Prüfung per Sperrliste abgekündigt, zuletzt die Telesec zum 30.06.2015. Diese Trustcenter greifen aktuell auf OCSP-Responder zurück.

 

Stand: April 2016