• Zielgruppen
  • Suche
 

Installation der Smartcard-Treiber

Für die Verwendung der Smartcard sind noch Treiber notwendig. Einerseits benötigen einige Smartcard-Reader zusätzliche Treiber, andererseits benötigen Smartcards selbst Treiber. Diese Smartcard-Treiber werden oft als Middleware bezeichnet, teils automatisch installiert und umfassen häufig zusätzliche Tools z.B. zum Ändern der PIN. Für die Nutzung mit der SAPGui ist zudem noch die Installation von NWSSO mit Anpassungen notwendig.

Smartcard-Reader

Die Smartcard-Reader müssen mindestens Extended-APDU unterstützen. Bei CCID-kompatiblen USB-Smartcard-Readern sind grundsätzlich keine weiteren als die standardmäßig mit Windows mitkommenden Treiber notwendig. Allerdings gibt es einige Smartcard-Reader, die zwar grundsätzlich CCID sprechen aber für Extended-APDU trotzdem Treiber benötigen.

CCID-konforme Reader mit extended-APDU-Support

Grundsätzlich sollten Smartcard-Reader, die über USB angeschlossen werden und CCID und bei CCID auch bereits extended APDU unterstützen, ohne zusätzliche Treiber mit der Smartcard-HSM-Karte funktionieren. Einen guten Überblick, welche Reader daher in Frage kommen, ist einer extended-APDU-Readersupport-Seite beim pscslite-Projekt für Linux zu finden.

Allerdings reicht das nicht unbedingt aus, jeder Reader ist mit der Smartcard-HSM zu testen. Von uns bisher als treiberlos nutzbar getestet: 

  • Identive Cloud 2700R (Beschaffung über einen ausgelagerten Webshop des IT.N möglich)
  • SCR 3310 und SCR 3311
  • SPR 332 (10/2014: Achtung, derzeit offene Probleme mit Pin-Pad!)
  • Dell-Smartcard-Keyboard RT7D60 (ältere Modell)
  • Dell-Smartcard-Keyboard KB813 (neueres Modell)

Von uns bisher bei Tests als ohne weitere Eingriffe oder Treiber nicht nutzbar getestet:

  • Omnikey Cardman 3021 und 3121 (Treiber & Registry-Einträge notwendig, s.u.)
  • Fujitsu Siemens SmartCard USB 2A (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)
  • Cherry-Tastatur Modell RS-6700 USB (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)

Weitere Reader können wir testen, wenn sie uns zu Tests überlassen werden.

Omnikey Cardman 3021

Dieser Reader unterstützt CCID nur rudimentär. Für den Betrieb im Uni2001-Umfeld ist die Installation zweier Dinge notwendig:

Für den Reader Fujitsu Siemens USB-2A sind ebenfalls ein Treiber von HID-Global (kommt per Windows-Update) sowie der o.g. Registry-Eintrag notwendig, Gleiches gilt für die Cherry-Tastatur RS-6700-USB.

Smartcard-Middleware

Die Smartcards werden von NWSSO über den Certificate-Store von Microsoft angesprochen. Die Treiber funktionieren meist über Base-CSP-Treiber, die ab Windows-7 bereits in der Windows-Grundinstallation enthalten sind.

Smartcard-HSM

Smartcard-HSM im Reader

Für die Verwendung der Smartcard-HSM, die von der RA/CA am RRZN oder an der TUBS augestellt werden, wird als Treiber OpenSC verwendet. Derzeit kommt die Version 0.13.0 zum Einsatz, ältere Versionen funktionieren nicht. Unter Windows-64-Bit ist sowohl die Installation der 64-Bit-Software als auch die der 32-Bit-Software notwendig, unter Windows-32-Bit nur die der 32-Bit-Version.

Screenshot OpenSC-Installer 1 Welcome
Screenshot OpenSC-Installer 2 License
Screenshot OpenSC-Installer 3 Custom type
Screenshot OpenSC-Installer 4 Features
Screenshot OpenSC-Installer 5 Ready to inst
Screenshot OpenSC-Installer 6 Progress
Screenshot OpenSC-Installer 7 Completed
 
Screenshot Progressbar der automatischen Installation OpenSC

Automatisieren lässt sich die Installation mit Admin-Rechten mittels
msiexec /qb /i opensc-0.13.0-win32.msi ADDLOCAL=OpenSC_core,OpenSC_minidriver,OpenSC_tools
und
msiexec /qb /i opensc-0.13.0-win64.msi ADDLOCAL=OpenSC_core,OpenSC_minidriver,OpenSC_tools
und bei Bedarf ist mit /qn statt /qb das ganz ohne Ausgabe (silent).

Darüber hinaus ist noch das Einspielen von Registry-Keys notwendig. Dieses können Sie durch Klicken (aus dem Windows-Explorer, nicht aus einem Download-Fenster eines Browsers) auf die Datei sc-hsm.reg erledigen oder automatisiert durch
regedit.exe /s sc-hsm.reg

Derzeit sucht Windows auch nach erfolgreicher Treiberinstallation beim Einstecken der Smartcard nach Treibern und gibt an, keine passenden gefunden zu haben. Diese Meldung kann ignoriert werden. Bitte stellen Sie dieses PnP-Verhalten nicht ab, wir werden ein Fix nachliefern und an dieser Stelle dokumentieren.

CA-Zertifikate

Empfehlenswert ist das Aufnehmen der verwendeten CA-Zertifikate in den Microsoft-Certificate-Store. Dafür können Sie mit dem Internet-Explorer auf die Zertifikats-Links klicken. Alle Zertifikate in verschiedenen Formaten und mit Erläuterungen finden Sie auf der DFN-CCC-LUH-Infoseite, einzeln zum direkten Download (auch zum direkten Importieren, gilt dann aber nicht systemweit sondern nur für den aktuellen Benutzer):

Alternativ können Sie das Einspielen auch mit dem windows-eigenen Programm certutil.exe automatisieren (wenn Sie mit dem Internet-Explorer die Zertifikate heruntergeladen haben, müssen Sie ggf. die Endungen mit .cer statt .crt angeben):
certutil.exe -f -addstore AuthRoot dfnglobal-telekomca.cer
certutil.exe -f -addstore CA dfnglobal-dfnca.cer
certutil.exe -f -addstore CA dfnglobal-cccca.cer

Weiterführende Hinweise

Beachten Sie, dass die neuere Smartcard die Verwendung von NWSSO und dabei auch eine neue Konfiguration gegenüber der nur für die Telesec-Karte benötigt. Ebenso ist eine genau gehene PC-Uhr zwingend, es sollte ein Zeitserver eingebunden werden. Details dazu vgl. Installation der SAP-GUI.