• Zielgruppen
  • Suche
 

Smartcard-Troubleshooting und FAQ

Sollte es zu Problemen oder Fragen mit der Smartcard kommen, so finden Sie hier vielleicht eine Antwort oder zumindest Hinweise. Ansonsten wenden Sie sich bitte an den Support (s.u.).

Tests der Smartcard / Zertifikate

Bei eingesteckter Smartcard sollten Sie Ihr Zertifikat im Microsoft-Zertifikatsspeicher sehen können. Diesen können Sie durch die Eingabe von certmgr.msc in der Eingabezeile beim Start-Knopf aufrufen. Das Zertifikat sollte unter "Persönliche Zertifikate" erscheinen:

Sie können auch die Smartcard direkt testen. Öffnen Sie dafür eine Eingabeaufforderung (Eingabe von cmd im Eingabefeld beim Startknopf) und im erscheinenden terminalartigen Eingabeaufforderungsfenster dann certutil -scinfo.

Sie können ein Client-Zertifikat und eben auch das auf der Smartcard durch Aufruf einer Webseite testen. Rufen Sie dazu die folgende Seite mit dem Internet-Explorer (nicht Firefox, das nutzt andere Zertifikatsspeicher) auf:

Zum einen sollte eine Webseite dargestellt werden, andererseits sollten auch Ihre Zertifikatsdaten angezeigt werden.

PIN-Falscheingabe

Die Smartcards lassen nur eine begrenzte Anzahl an Fehlversuchen bei der PIN-Eingabe zu. Während die TCOS-Karte noch eine zusätzliche PUK zur Entsperrung bot, ist die HSM-Smartcard nach 5 Fehlversuchen (bei einigen in 10/2013 ausgelieferten Karten 3 Fehlversuchen) gesperrt. Das Zertifikat bzw. die Schlüssel auf der HSM-Smartcard sind dann nicht mehr nutzbar, jedoch kann die Karte wieder neu bespielt werden (also Karte aufheben bzw. an die auf der Rückseite angegebene Adresse zurück schicken). Es ist ein neues Zertifikat zu beantragen.

Bei der HSM-Smartcard zählen nur PIN-Eingaben mit der richtigen Anzahl an Stellen als Fehlversuche. Wird z.B. eine zu kurze und damit falsche PIN eingegeben, wird das nicht gezählt, und es kommt zu einer evt. verwirrenden Fehlversuchsanzeige ("nur noch..." aber Anzahl bleibt unverändert). 

Sie können sich die Zahl der verbleibenden PIN-Versuche anzeigen lassen. Öffnen Sie dafür eine Eingabeaufforderung und im erscheinenden terminalartigen Eingabeaufforderungsfenster dann
"%ProgramFiles%\OpenSC Project\OpenSC\tools\sc-hsm-tool"

TCOS-Karte von der TeleSec

Die bisherige TeleSec-Karte kann auch nach Neuinstallation / Update des NWSSO und der für die neue Smartcard vorgesehenen gss.xml-Datei (vgl. SAP-GUI-Installation) weiter verwendet werden. Jedoch ist das Zertifikat mit der Schlüsselverwendung "digitale Signatur (80)" zu verwenden, nicht das bisherige mit dem Verwendungszweck "Zugelassen (40)".

Leider können die drei Zertifikate auf den Telesec-Karten, die sich durch Ihren Verwendungszweck unterscheiden, im SAP-Secure-Logon-Client nicht sofort auseinandergehalten werden. Nach einem Doppelklick auf eins der Zertifikate gelangt man zu seinen Eigenschaften, dort auf der Karteikarte "Details" lässt sich die "Schlüsselverwendung" einsehen. Das Zertifikat mit der Schlüsselverwendung "Digitale Signatur (80)" muss dann über einen Rechtsklick als "Profil für SAP-Anwendungen" verwendet werden:

drei nicht unterscheidbaren Zertifikate
Details des notwendigen Zertifikats
Auswahl für SAP

Umrüstung alter SAPGui-Installationen

Sollte bisher Secude installiert gewesen sein, so ist folgendes zu beachten:

  • Die PIN der TCOS-Karte darf nur aus Ziffern bestehen, sonst ist die Nutzung mit NWSSO nicht möglich. PIN ggf. noch in Secude oder mit dem TCOS-Cardmanager ändern.
  • Secude komplett deinstallieren, ggf. gesetzte Umgebungsvariablen (z.B. CREDDIR, SECUDE_DIR) ebenfall löschen

Normalerweise entfernt der Installer der neuen GUI & NWSSO alle älteren GUI-Versionen.

  • Falls bei der Installation eine Fehlermeldungen bezüglich "Proxy musste beendet werden" erscheint, dann muss die ältere GUI-Installation manuell entfernt werden. 

Support

Wegen Support kontaktieren Sie bitte zunächst Ihren SAP-Keyuser oder lokalen Administrator. Bei Problemen mit der Smartcard-Treiber-Software oder während der Beantragung können Sie sich auch an die auf der Karte gedruckten Kontakte wenden:

 Bitte teilen Sie bei Ihrer Support-Anfrage uns folgende Informationen mit (so passend):

  • Hochschule (SAP-Mandant)
    Name mit Telefon & Mail-Adresse des Nutzers und des zuständigen System-Administrators
  • verwendete Smartcard (Typ & Seriennummer)
  • Betriebssystemversion und IP-Adresse des verwendeten PCs
  • Ausgaben / Screenshots der Programme certmgr & certutil (s.o.)