LUIS Services Anwendungen SAP Smartcard
Installation Smartcard-Software

Installation der Smartcard-Software

Für die Verwendung der Smartcard ist die OpenSC 'Middleware', Gerätetreiber für einige Smartcard-Reader und passende Zertifikate bzw. Zertifikatsketten notwendig.

Die ersten beiden Punkte werden über den 'OpenSC-Installer (Windows)' abgedeckt. Die Zertifikate sind hier unter 'Installer für Zertifikate (Windows)' zu finden.

  • OpenSC-Installer (Windows)

    Schnellinstallation

    Installation vom LUIS_OpenSCv0.17 Installer

    Beinhaltet:

    • OpenSC v0.17 in 32+64Bit + Registry-Datei sc-hsm.reg
    • Treiber für Omnikey Kartenleser + Registry-Datei cardman-tpdu_T1mode.reg
    • TeleSec Zertifikatskette (Nicht automatisch bei allen Windows Rechner vorinstalliert. Bitte auch Anleitung weiter unten auf der Seite unter CA-Zertifikate beachten)

     

    Die Installation läuft automatisch ab. Sollten währen der Installation Benutzerabfragen auftauchen, können diese alle mit OK bestätigt, bzw. mit Verweis auf einen späteren Neustart des Rechners fortgeführt werden. Andere Programme sollten vor der Installation möglichst geschlossen werden. Abgeschlossen ist die Installation wenn die GUI des Installers den Abschluss meldet.

    Der Installer kann für alle Windows Versionen (8, 8.1, 10) benutzt werden und für alle vom LUIS erfolgreich getesteten Kartenleser.

    Manuelle Installation

    Smartcard-Reader

    Die Smartcard-Reader müssen mindestens Extended-APDU unterstützen. Bei CCID-kompatiblen USB-Smartcard-Readern sind grundsätzlich keine weiteren als die standardmäßig mit Windows mitkommenden Treiber notwendig. Allerdings gibt es einige Smartcard-Reader, die zwar grundsätzlich CCID sprechen aber für Extended-APDU trotzdem Treiber benötigen.

    CCID-konforme Reader mit extended-APDU-Support

    Grundsätzlich sollten Smartcard-Reader, die über USB angeschlossen werden und CCID und bei CCID auch bereits extended APDU unterstützen, ohne zusätzliche Treiber mit der Smartcard-HSM-Karte funktionieren. Einen guten Überblick, welche Reader daher in Frage kommen, ist einer extended-APDU-Readersupport-Seite beim pscslite-Projekt für Linux zu finden.

    Allerdings reicht das nicht unbedingt aus, jeder Reader ist mit der Smartcard-HSM zu testen. Von uns bisher als treiberlos nutzbar getestet: 

    • Identive Cloud 2700R (Beschaffung über einen ausgelagerten Webshop des IT.N möglich)
    • SCR 3310 und SCR 3311
    • SPR 332 (10/2014: Achtung, derzeit offene Probleme mit Pin-Pad!)
    • Dell-Smartcard-Keyboard RT7D60 (ältere Modell)
    • Dell-Smartcard-Keyboard KB813 (neueres Modell)

    Von uns bisher bei Tests als ohne weitere Eingriffe oder Treiber nicht nutzbar getestet:

    • Omnikey Cardman 3021 und 3121 (Treiber & Registry-Einträge notwendig, s.u.)
    • Fujitsu Siemens SmartCard USB 2A (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)
    • Cherry-Tastatur Modell RS-6700 USB (Treiber & Registry-Einträge wie bei Omnikey notwendig, s.u.)

    Weitere Reader können wir testen, wenn sie uns zu Tests überlassen werden.

    Omnikey Cardman 3021

    Dieser Reader unterstützt CCID nur rudimentär. Für den Betrieb ist die Installation zweier Dinge notwendig:

    • Treiber: Die von Ihnen benötigte Datei ist omnikey3x21_1.2.20.0_win7_x64.exe für Windows-64Bit bzw. omnikey3x21_1.2.20.0_win7_x86.exe für Windows-32Bit. ACHTUNG: Weder der Windows eigene Treiber noch der aktuelle Treiber von HID-Global funktionieren mit SAP!
    • Setzen eines Registry-Keys zur Aktivierung der TPDU- & extended-APDU-Modes cardman-tpdu_T1mode.reg (anklicken aus dem Windows-Explorer, nicht aus dem Download-Manager; alternativ automatisiert mittels regedit.exe /s cardman-tpdu_T1mode.reg)

    Für den Reader Fujitsu Siemens USB-2A sind ebenfalls ein Treiber von HID-Global (kommt per Windows-Update) sowie der o.g. Registry-Eintrag notwendig, Gleiches gilt für die Cherry-Tastatur RS-6700-USB.

    Smartcard-Middleware

    Die Smartcards werden von NWSSO über den Certificate-Store von Microsoft angesprochen. Die Treiber funktionieren meist über Base-CSP-Treiber, die ab Windows-7 bereits in der Windows-Grundinstallation enthalten sind.

    Smartcard-HSM

    Für die Verwendung der Smartcard-HSM, die von der RA/CA am LUIS oder an der TUBS ausgestellt werden, wird als Treiber OpenSC verwendet. Derzeit kommt die Version 0.17.0 zum Einsatz, ältere Versionen funktionieren nicht bei allen Windowsversionen. Unter Windows-64-Bit ist sowohl die Installation der 64-Bit-Software als auch die der 32-Bit-Software notwendig, unter Windows-32-Bit nur die der 32-Bit-Version.

    Automatisieren lässt sich die Installation mit Admin-Rechten mittels

    msiexec /qb /i OpenSC-0.17.0-win32_vs12-Release.msi ADDLOCAL=OpenSC_core,OpenSC_pkcs11,OpenSC_minidriver,OpenSC_tools

    und

    msiexec /qb /i OpenSC-0.17.0-win64_vs12-Release.msi ADDLOCAL=OpenSC_core,OpenSC_pkcs11,OpenSC_minidriver,OpenSC_tools

    und bei Bedarf ist mit /qn statt /qb das ganz ohne Ausgabe (silent).

    Darüber hinaus ist noch das Einspielen von Registry-Keys notwendig. Dieses können Sie durch Klicken (aus dem Windows-Explorer, nicht aus einem Download-Fenster eines Browsers) auf die Datei sc-hsm.reg erledigen oder automatisiert durch

    regedit.exe /s sc-hsm.reg

    Damit bei Level2 Kartenleser nicht das PIN-PAD für die Pineingabe beim Anmelden an SAP verlangt wird, muss in der opensc.conf (Ziel speichern unter) noch ein Eintrag geändert werden. Die .conf befindet sich in den beiden Installationsordnern von OpenSC:

    C:\Program Files\OpenSC Project\OpenSC

    C:\Program Files (x86)\OpenSC Project\OpenSC

    # Enable pinpad if detected (PC/SC v2.0.2 Part 10)

    # Default: true

    enable_pinpad = false;

    Eine automatisierte Anpassung kann z.B. über CMD:

    copy opensc.conf "c:\Program Files\OpenSC Project\OpenSC"

    und

    copy opensc.conf "c:\Program Files (x86)\OpenSC Project\OpenSC"

    erfolgen

    CA-Zertifikate

    Empfehlenswert ist das Aufnehmen der verwendeten CA-Zertifikate (DFN-PKI) in den Microsoft-Certificate-Store. Dafür können Sie mit dem Internet-Explorer auf die Zertifikats-Links klicken. Alle Zertifikate in verschiedenen Formaten und mit Erläuterungen finden Sie auf der DFN-Infoseite, einzeln zum direkten Download (auch zum direkten Importieren, gilt dann aber nicht systemweit sondern nur für den aktuellen Benutzer):

    Alternativ können Sie das Einspielen auch mit dem windows-eigenen Programm certutil.exe automatisieren (wenn Sie mit dem Internet-Explorer die Zertifikate heruntergeladen haben, müssen Sie ggf. die Endungen mit .cer statt .crt angeben):

    certutil.exe -f -addstore AuthRoot dfnglobal2-ttelesecca.cer
    certutil.exe -f -addstore CA dfnglobal2-dfnca.cer
    certutil.exe -f -addstore CA dfnglobal2-dfnissuingca.cer

    Weiterführende Hinweise

    Beachten Sie, dass eine genau gehene PC-Uhr zwingend ist, es sollte ein Zeitserver eingebunden werden. Details dazu vgl. Installation der SAP-GUI.

  • Installer für Zertifikate (Windows)

    Schnellinstallation der Zertifikate

    Seit Mai 2023 werden für den Verbindungsaufbau über das SAP-Gui zusätzliche Zertfikate benötigt, die in dem bisherigen OpenSC-Installer nicht enthalten sind.

    Diese können über eine der folgendenden Installerversionen in den Windows-Zertifikatsspeicher integriert werden:

    - Installer mit Rückmeldung zur Installation: SAPGUI-CA-Zertifikate_2023-5.exe

    - Installer ohne Rückmeldung zur Installation ("silent"): SAPGUI-CA-Zertifikate_2023-5_silent.exe

     

  • Smardcards unter Linux mit OpenSC

    Generell wird die verwendete Smartcard-HSM von OpenSC seit 0.14 unterstützt.

    Pfade

    • /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
    • /usr/lib/i386-linux-gnu/opensc-pkcs11.so

     

    /etc/opensc/opensc.conf

    Zur Vermeidung von Problemen bei Class-2 & Class-3 Kartenlesegeräten kann es notwendig sein das PinPad abzuschalten (Änderung an der /etc/opensc/opensc.conf):

    enable_pinpad = false;
    

    Anbindung an Mozilla Firefox

    Über Einstellungen wird nach "Kryptographie-Module" gesucht.
    Den Pfad /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so an die Umgebung anpassen.
    Nach der erfolgreichen Einrichtung zeigt einem Firefox hier den erkannten Kartenleser und Details der gesteckten Karte an.

    Anbindung an Chrome / Chromium

    Können wir nicht supporten, dokumentiert sind die folgenden Schritte:

    sudo apt-get install libnss3-tools
    modutil -dbdir ~/.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
    
  • Anbindung an Edge / Internet Explorer

    Der Internet-Explorer verwendet für die Behandlung von Zertifikaten den in Windows eingebauten Zertifikats-Speicher. Mit den für die Smartcard installierten Windows-Treibern ist die Karte daher im Internet-Explorer sofort verwendbar.

  • Fehlersuche / Debugging

    Windows

    certutil -scinfo

    Linux

    $ pkcs11-tool -L
    Available slots:
    Slot 0 (0x0): Dell Dell Smart Card Reader Keyboard 00 00
      token label        : Test Client1 CA (User PIN)
      token manufacturer : EnterSafe
      token model        : PKCS#15
      token flags        : login required, PIN pad present, rng, token initialized, PIN initialized
      hardware version   : 0.0
      firmware version   : 0.0
      serial num         : 1318492715250219
      pin min/max        : 4/16
    
    pkcs11-tool --list-objects --login
    Using slot 0 with a present token (0x0)
    ****
    Private Key Object; RSA
      label:      PN: Teilnehmerservice Test RAID 60
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Usage:      sign, non-repudiation, unwrap
      Access:     sensitive, always sensitive, never extractable
    Certificate Object; type = X.509 cert
      label:      PN: Teilnehmerservice Test RAID 60
      subject:    DN: C=DE, O=Testinstallation Eins CA, CN=PN: Teilnehmerservice Test RAID 60
    
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Public Key Object; RSA 2048 bits
      label:      PN: Teilnehmerservice Test RAID 60
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Usage:      encrypt, verify
      Access:     local
    

Kontakt

Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.