enable_pinpad = false;
Installation der Smartcard-Software
Für die Verwendung der Smartcard ist die OpenSC 'Middleware', Gerätetreiber für einige Smartcard-Reader und passende Zertifikate bzw. Zertifikatsketten notwendig.
Die ersten beiden Punkte werden über den 'OpenSC-Installer (Windows)' abgedeckt. Die Zertifikate sind hier unter 'Installer für Zertifikate (Windows)' zu finden.
-
OpenSC-Installer (Windows)
Schnellinstallation
Installation vom LUIS_OpenSCv0.17 Installer
Beinhaltet:
- OpenSC v0.17 in 32+64Bit + Registry-Datei sc-hsm.reg
- Treiber für Omnikey Kartenleser + Registry-Datei cardman-tpdu_T1mode.reg
- TeleSec Zertifikatskette (Nicht automatisch bei allen Windows Rechner vorinstalliert. Bitte auch Anleitung weiter unten auf der Seite unter CA-Zertifikate beachten)
Die Installation läuft automatisch ab. Sollten währen der Installation Benutzerabfragen auftauchen, können diese alle mit OK bestätigt, bzw. mit Verweis auf einen späteren Neustart des Rechners fortgeführt werden. Andere Programme sollten vor der Installation möglichst geschlossen werden. Abgeschlossen ist die Installation wenn die GUI des Installers den Abschluss meldet.
Der Installer kann für alle Windows Versionen (8, 8.1, 10) benutzt werden und für alle vom LUIS erfolgreich getesteten Kartenleser.
Manuelle Installation
Smartcard-Reader
Die Smartcard-Reader müssen mindestens Extended-APDU unterstützen. Bei CCID-kompatiblen USB-Smartcard-Readern sind grundsätzlich keine weiteren als die standardmäßig mit Windows mitkommenden Treiber notwendig. Allerdings gibt es einige Smartcard-Reader, die zwar grundsätzlich CCID sprechen aber für Extended-APDU trotzdem Treiber benötigen.
CCID-konforme Reader mit extended-APDU-Support
Grundsätzlich sollten Smartcard-Reader, die über USB angeschlossen werden und CCID und bei CCID auch bereits extended APDU unterstützen, ohne zusätzliche Treiber mit der Smartcard-HSM-Karte funktionieren. Einen guten Überblick, welche Reader daher in Frage kommen, ist einer extended-APDU-Readersupport-Seite beim pscslite-Projekt für Linux zu finden.
Allerdings reicht das nicht unbedingt aus, jeder Reader ist mit der Smartcard-HSM zu testen. Von uns bisher als treiberlos nutzbar getestet:
- Identive Cloud 2700R (Beschaffung über einen ausgelagerten Webshop des IT.N möglich)
- SCR 3310 und SCR 3311
- SPR 332 (10/2014: Achtung, derzeit offene Probleme mit Pin-Pad!)
- Dell-Smartcard-Keyboard RT7D60 (ältere Modell)
- Dell-Smartcard-Keyboard KB813 (neueres Modell)
Von uns bisher bei Tests als ohne weitere Eingriffe oder Treiber nicht nutzbar getestet:
- Omnikey Cardman 3021 und 3121 (Treiber & Registry-Einträge notwendig, s.u.)
- Fujitsu Siemens SmartCard USB 2A (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)
- Cherry-Tastatur Modell RS-6700 USB (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)
Weitere Reader können wir testen, wenn sie uns zu Tests überlassen werden.
Omnikey Cardman 3021
Dieser Reader unterstützt CCID nur rudimentär. Für den Betrieb ist die Installation zweier Dinge notwendig:
- Treiber: Die von Ihnen benötigte Datei ist omnikey3x21_1.2.20.0_win7_x64.exe für Windows-64Bit bzw. omnikey3x21_1.2.20.0_win7_x86.exe für Windows-32Bit. ACHTUNG: Weder der Windows eigene Treiber noch der aktuelle Treiber von HID-Global funktionieren mit SAP!
- Setzen eines Registry-Keys zur Aktivierung der TPDU- & extended-APDU-Modes cardman-tpdu_T1mode.reg (anklicken aus dem Windows-Explorer, nicht aus dem Download-Manager; alternativ automatisiert mittels regedit.exe /s cardman-tpdu_T1mode.reg)
Für den Reader Fujitsu Siemens USB-2A sind ebenfalls ein Treiber von HID-Global (kommt per Windows-Update) sowie der o.g. Registry-Eintrag notwendig, Gleiches gilt für die Cherry-Tastatur RS-6700-USB.
Smartcard-Middleware
Die Smartcards werden von NWSSO über den Certificate-Store von Microsoft angesprochen. Die Treiber funktionieren meist über Base-CSP-Treiber, die ab Windows-7 bereits in der Windows-Grundinstallation enthalten sind.
Smartcard-HSM
Für die Verwendung der Smartcard-HSM, die von der RA/CA am LUIS oder an der TUBS ausgestellt werden, wird als Treiber OpenSC verwendet. Derzeit kommt die Version 0.17.0 zum Einsatz, ältere Versionen funktionieren nicht bei allen Windowsversionen. Unter Windows-64-Bit ist sowohl die Installation der 64-Bit-Software als auch die der 32-Bit-Software notwendig, unter Windows-32-Bit nur die der 32-Bit-Version.
- Download der Treiber OpenSC-0.17.0-win32_vs12-Release.msi und OpenSC-0.17.0-win64_vs12-Release.msi
- Ausführen der Treiberinstallationen (bei 64-Bit-Systemen beide!)
- benötigte Komponenten: "OpenSC core library", "OpenSC minidriver", "Tools and Profiles"
Automatisieren lässt sich die Installation mit Admin-Rechten mittels
msiexec /qb /i OpenSC-0.17.0-win32_vs12-Release.msi ADDLOCAL=OpenSC_core,OpenSC_pkcs11,OpenSC_minidriver,OpenSC_tools
und
msiexec /qb /i OpenSC-0.17.0-win64_vs12-Release.msi ADDLOCAL=OpenSC_core,OpenSC_pkcs11,OpenSC_minidriver,OpenSC_tools
und bei Bedarf ist mit /qn statt /qb das ganz ohne Ausgabe (silent).
Darüber hinaus ist noch das Einspielen von Registry-Keys notwendig. Dieses können Sie durch Klicken (aus dem Windows-Explorer, nicht aus einem Download-Fenster eines Browsers) auf die Datei sc-hsm.reg erledigen oder automatisiert durch
regedit.exe /s sc-hsm.reg
Damit bei Level2 Kartenleser nicht das PIN-PAD für die Pineingabe beim Anmelden an SAP verlangt wird, muss in der opensc.conf (Ziel speichern unter) noch ein Eintrag geändert werden. Die .conf befindet sich in den beiden Installationsordnern von OpenSC:
C:\Program Files\OpenSC Project\OpenSC
C:\Program Files (x86)\OpenSC Project\OpenSC
# Enable pinpad if detected (PC/SC v2.0.2 Part 10)
# Default: true
enable_pinpad = false;
Eine automatisierte Anpassung kann z.B. über CMD:
copy opensc.conf "c:\Program Files\OpenSC Project\OpenSC"
und
copy opensc.conf "c:\Program Files (x86)\OpenSC Project\OpenSC"
erfolgen
CA-Zertifikate
Empfehlenswert ist das Aufnehmen der verwendeten CA-Zertifikate (DFN-PKI) in den Microsoft-Certificate-Store. Dafür können Sie mit dem Internet-Explorer auf die Zertifikats-Links klicken. Alle Zertifikate in verschiedenen Formaten und mit Erläuterungen finden Sie auf der DFN-Infoseite, einzeln zum direkten Download (auch zum direkten Importieren, gilt dann aber nicht systemweit sondern nur für den aktuellen Benutzer):
- DFN-PKI:
Alternativ können Sie das Einspielen auch mit dem windows-eigenen Programm certutil.exe automatisieren (wenn Sie mit dem Internet-Explorer die Zertifikate heruntergeladen haben, müssen Sie ggf. die Endungen mit .cer statt .crt angeben):
certutil.exe -f -addstore AuthRoot dfnglobal2-ttelesecca.cer
certutil.exe -f -addstore CA dfnglobal2-dfnca.cer
certutil.exe -f -addstore CA dfnglobal2-dfnissuingca.cerWeiterführende Hinweise
Beachten Sie, dass eine genau gehene PC-Uhr zwingend ist, es sollte ein Zeitserver eingebunden werden. Details dazu vgl. Installation der SAP-GUI.
-
Installer für Zertifikate (Windows)
Schnellinstallation der Zertifikate
Seit Mai 2023 werden für den Verbindungsaufbau über das SAP-Gui zusätzliche Zertfikate benötigt, die in dem bisherigen OpenSC-Installer nicht enthalten sind.
Diese können über eine der folgendenden Installerversionen in den Windows-Zertifikatsspeicher integriert werden:
- Installer mit Rückmeldung zur Installation: SAPGUI-CA-Zertifikate_2023-5.exe
- Installer ohne Rückmeldung zur Installation ("silent"): SAPGUI-CA-Zertifikate_2023-5_silent.exe
-
Smardcards unter Linux mit OpenSC
Generell wird die verwendete Smartcard-HSM von OpenSC seit 0.14 unterstützt.
Pfade
- /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
- /usr/lib/i386-linux-gnu/opensc-pkcs11.so
/etc/opensc/opensc.conf
Zur Vermeidung von Problemen bei Class-2 & Class-3 Kartenlesegeräten kann es notwendig sein das PinPad abzuschalten (Änderung an der /etc/opensc/opensc.conf):
Anbindung an Mozilla Firefox
Anbindung an Chrome / Chromium
Können wir nicht supporten, dokumentiert sind die folgenden Schritte:
sudo apt-get install libnss3-tools modutil -dbdir ~/.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
-
Anbindung an Edge / Internet Explorer
Der Internet-Explorer verwendet für die Behandlung von Zertifikaten den in Windows eingebauten Zertifikats-Speicher. Mit den für die Smartcard installierten Windows-Treibern ist die Karte daher im Internet-Explorer sofort verwendbar.
-
Fehlersuche / Debugging
Windows
certutil -scinfo
Linux
$ pkcs11-tool -L Available slots: Slot 0 (0x0): Dell Dell Smart Card Reader Keyboard 00 00 token label : Test Client1 CA (User PIN) token manufacturer : EnterSafe token model : PKCS#15
token flags : login required, PIN pad present, rng, token initialized, PIN initialized hardware version : 0.0 firmware version : 0.0
serial num : 1318492715250219
pin min/max : 4/16
pkcs11-tool --list-objects --login Using slot 0 with a present token (0x0) **** Private Key Object; RSA label: PN: Teilnehmerservice Test RAID 60
ID: 2649a19d5d6a216913c5a0c8bb9f97229dec99ab Usage: sign, non-repudiation, unwrap Access: sensitive, always sensitive, never extractable Certificate Object; type = X.509 cert label: PN: Teilnehmerservice Test RAID 60 subject: DN: C=DE, O=Testinstallation Eins CA, CN=PN: Teilnehmerservice Test RAID 60
ID: 2649a19d5d6a216913c5a0c8bb9f97229dec99ab Public Key Object; RSA 2048 bits label: PN: Teilnehmerservice Test RAID 60
ID: 2649a19d5d6a216913c5a0c8bb9f97229dec99ab Usage: encrypt, verify
Access: local