Lösungen
Märkte
Referenzen
Services
Unternehmen
eANV-Portal - FAQ

eANV-Portal - FAQ

Installation Signatursoftware (Sign Live! CC cloud suite bridge)

Inhaltsverzeichnis:

Achtung: Bevor Sie mit Ihrer Telesec Signaturkarte signieren können, muss diese betriebsbereit gemacht und der Empfang betätigt werden. Sollten Sie das noch nicht getan haben, schauen Sie bitte zuerst diese Anleitung an.

Die Software „Sign Live! cloudsuite bridge“, mit der aktuellen Version 7.1.12 (Release Notes) ist die Komponente, welche für die Signatur der Axians eWaste Produkte genutzt wird und dafür auf Ihrem Computer installiert sein muss. Diese Version ist auch für Windows 11 freigegeben. Für ein leichteres Verständnis sprechen wir in dieser Anleitung jedoch nicht mehr von „Sign Live! cloudsuite bridge“, sondern von der „Signatursoftware“. Diese Version unterstützt auch die D-Trust Card v5.1/v5.4

Sollten Sie die Version 7.1.0 (oder noch älter) installiert haben, werden Sie entweder durch solch eine Infobox (Versionsnummern können variieren) aufmerksam gemacht oder Sie reagieren eigenständig und aktualisieren auf die neue Version.

 

 

 

 

 

 

 

 

Mit den nächsten beiden Links können Sie die Signatursoftware für Ihren PC oder Terminalserver herunterladen. Beachten Sie jedoch vorher unsere Systemvoraussetzungen!
Versuchen Sie – falls Sie sich nicht sicher sind – zuerst die 64-Bit Version zu installieren. Sollte das nicht gehen, installieren Sie bitte die 32-Bit Version

Hinweis: Sollten Sie die Signatursoftware bereits installiert haben und dennoch auf Fehler stoßen, dann gehen Sie bitte direkt zum Abschnitt „Fehlersuche“. 

 


Installation der Signatursoftware


Silent Installation (optional für Administratoren):

setup_CSBridge_JRE_7.1.12_64Bit.exe  /silent /closeapplications /allusers /norestart /log

Mögliche weitere Parameter unter https://jrsoftware.org/ishelp/index.php?topic=setupcmdline


 

Nachdem Sie nun die Signatursoftware korrekt heruntergeladen haben,  starten Sie die entsprechende Datei und folgen dieser Anleitung.

Hinweis:

Lassen Sie sich bei den Bildern nicht von den Versionsnummern ablenken.

Der Softwarehersteller bezeichnet die Signatursoftware in den Bildern pauschal mit der Version 7.1.

Wählen Sie die Sprache aus: 

 

Optional: Eventuell folgt der Hinweis, dass bereits eine ältere Version der Signatursoftware installiert ist, falls diese von Ihnen zuvor nicht deinstalliert wurde.

Akzeptieren Sie die Lizenzvereinbarung und klicken auf „Weiter“:  

Lesen Sie die  Zusatzinformationen und klicken auf „Weiter“: 

Wählen Sie Ihr gewünschtes Installationsverzeichnis und klicken auf „Weiter“: 

Entscheiden Sie, ob Sie eine Desktopverknüpfung benötigen, klicken auf „Weiter“ und „Installieren“:  

 

 

Optional: Falls Sie eine Vorgängerversion installiert und geöffnet haben, bestätigen Sie bitte, dass die alte Version geschlossen werden darf:

Die neue Version wird installiert:

Nach Abschluss der Installation kann die Signatursoftware durch Klick auf „Fertigstellen“ sofort gestartet werden:

 


Konfiguration der Signatursoftware


Nach dem Start der Signatursoftware findet man diese auf dem Hauptbildschirm rechts unten im System Tray, in dem normalerweise das Datum und die Uhrzeit stehen.

Hinweis: Falls  das Symbol nicht gleich zu sehen ist, könnte es sein, dass bei Ihnen nicht alle gestarteten Softwareanwendungen sichtbar sind. In diesem Fall sollte bei Ihnen ein Symbol wie ein Satteldach ^ zu sehen sein. Klicken Sie auf dieses Symbol und es erscheinen  die „versteckten“ anderen Softwareanwendungen.

Fahren Sie mit dem Mauszeiger direkt über das Symbol der Signatursoftware und klicken die rechte Maustaste: 

Klicken Sie dann mit der linken Maustaste auf „Settings“:  

 

Im darauffolgenden Fenster müssen Sie die Option „Server automatisch starten“ deaktivieren (vgl. Screenshot).  

 

Ob Sie einen Proxyserver verwenden oder nicht, erfragen Sie bitte direkt bei Ihrem IT Betreuer. Dieser soll Ihnen auch gleich die notwendigen Angaben übermitteln.

Sollten Sie nicht über einen Proxyserver ins Internet gelangen, stellen Sie bitte die Proxyeinstellung vgl. zum folgenden Screenshot ein.

 

Sollten Sie über einen Proxyserver ins Internet gelangen, stellen Sie bitte die Proxyeinstellung vgl. zum folgenden Screenshot ein.

Die Angabe einer Proxy.pac URL wird hier nicht unterstützt!
Hinweis: Es muss immer die IP oder der FQDN, sowie der Port angegeben werden.

 

Klicken Sie bitte nun auf „OK“.  Nach ein paar Sekunden schließt sich dieses Fenster.

Schließen Sie die Signatursoftware, indem Sie mit dem Mauszeiger über das Symbol der Signatursoftware fahren und auf „Exit“ klicken. 



Hinweis: Durch das Schließen der Signatursoftware können sich die vorgenommenen Einstellungen in der Konfigurationdatei aktualisieren.

Warten Sie ca. 15 Sekunden und starten Sie die Signatursoftware erneut, das entsprechende Symbol dazu sollte sich auf Ihrem Desktop befinden.
Nach dem erneuten Start gehen Sie bitte nochmals zu den Proxy Einstellungen und klicken auf „Selbsttest“.  

 

Wenn Sie alles richtig eingestellt haben, erscheint folgendes Fenster:

Klicken Sie zunächst im großen Fenster auf „OK“, anschließend im kleinen Fenster auf „OK“.  

Die Signatursoftware ist betriebsbereit.

 

Hinweis: Je nach Internet Browser werden Sie bei der ersten Signatur gefragt, mit welchem Browser Sie die Anwendung öffnen wollen. Meistens besteht die Option den Standardbrowser direkt festzulegen, damit das Fenster nur einmalig erscheint. Wir empfehlen Ihnen diese Option zu wählen, damit Sie dies nicht bei jeder Signatur einzeln bestätigen müssen. 


Firewall Informationen


Folgende Einstellungen müssen auf einer Firewall vorgenommen werden, damit die Kommunikation ohne Probleme verläuft:

Freigabe für die URLs:

Für beide URLs müssen der Port 80 und 443 freigegeben werden.

Um den folgenden Fehler im Vorfeld zu umgehen, sollte beim Einsatz einer Interception Firewall (diese öffnet unseren SSL Kanal und verschlüsselt dann jedoch nicht dem richtigen Zertifikat) eine Ausnahmeregel für das eANVportal aktiviert werden. Falls dieses nicht geht, muss unten stehende Lösung (siehe Fehlersuche) umgesetzt werden.

 


Fehlersuche


Folgende Fehlermeldung erscheint bei der Signatur:   de.intarsys.cloudsuite.remoteprocessor.api.RemoteProcessorException: PKIX path building failed: java.security.cert.CertPathBuilderException: Unable to find certificate chain.

 

In diesem Fall ist es vermutlich so, dass Ihr Unternehmen eine Firewall zur SSL-Interception nutzt. Ob dies bei Ihnen der Fall ist, können Sie selbst leicht feststellen.

Folgender Screenshot stammt aus dem Mozilla Firefox Browser und zeigt, wie die Zertifikatskette aussieht, wenn KEINE SSL-Interception genutzt wird (also der Normalfall)

Die Zertifikatskette ist von oben nach unten: DigiCert Global Root G2 => Thawte TLS RSA CA G1 => *.eanvportal.de

 

Der folgende Screenshot stammt ebenfalls aus dem Mozilla Firefox, jedoch hängt hier die SSL-Interception der Firma Zscaler dazwischen.

Wie sie sehen, ist nur noch das *.eanvportal.de Zertifikat vorhanden, der Rest wurde durch Zscaler Zertifikate ersetzt worden.

Bei Ihnen muss das aber nicht die Firma Zscaler sein, es kann auch ein anderer Anbieter dort stehen. Egal ob Zscaler oder ein anderer Anbieter, in jedem Fall müssen dann dem lokalen Keystore der Bridgeanwendung diese Zertifikatskette bekannt gemacht werden.

Hierzu empfehlen wir die einzelne *.crt Zertifikate der gesamten Zertifikatskette über den Google Chrome oder Microsoft Edge Brower zu exportieren. Mozilla Firefox exportiert leider nur *.pem Dateien. Wenden Sie sich hierzu an Ihre interne IT Abteilung!

Beenden Sie nun die Bridgeanwendung.

Bitte beachten Sie, dass in den folgenden Beispielen alle Anführungszeichen immer am oberen Textrand platziert werden müssen. Zur Ausführung des folgenden Beispiels für den 64-Bit-Signatur-Client (der Pfad ist entsprechend bei der 32-Bit-Version anzupassen) öffnen Sie cmd.exe als Administrator und wechseln in das Verzeichnis „C:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\bin„.

 

Folgende 3 Zeilen dienen hier rein als Beispiel und müssen entsprechend Ihrer Infrastruktur angepasst werden.

Rufen Sie die 3 Befehlszeilen hintereinander auf.

Jeweils mit JA bestätigen bei der Rückfrage ob das Zertifikat hinzugefügt werden soll.

Das Passwort, das beim Keystore abgefragt wird, lautet: „changeit„.

keytool.exe -alias ZScaler1 -importcert -file "c:\temp\Zscaler1.crt" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"
keytool.exe -alias ZScaler2 -importcert -file "c:\temp\Zscaler2.crt" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"
keytool.exe -alias ZScaler3 -importcert -file "c:\temp\Zscaler3.crt" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"

 

Mit diesen Schritten haben jetzt dem lokalen Keystore der Bridgeanwendung die Zertifikate bzw. Zertifikatskette der SSL-Interception bekannt gemacht.

Starten Sie die Bridgeanwendung erneut.

Testen Sie jetzt. Es kann sein, je nach SSL-Intercetion, das die Signatur bereits schon funktioniert.

 

Sollte es immer noch Probleme geben, fehlen noch die 3 offiziellen Zertifikate des eANVportal. Auch diese müssen, wie oben beschrieben, dem lokalen Keystore der Bridgeanwendung bekannt gemacht werden.

Laden Sie hierzu bitte das ZIP Archive eanvportal.de-zertifikatskette.zip hier herunter:

https://service.axians-ewaste.com/fum/de/dateiablage/path/eanvportal/support/ssl_zertifikat/eanvportal.de-zertifikatskette.zip

Entpacken Sie bitte alle 3 Zertifikate in das Verzeichnis c:\temp

Bitte beachten Sie, dass in den folgenden Beispielen alle Anführungszeichen immer am oberen Textrand platziert werden müssen. Zur Ausführung des folgenden Beispiels für den 64-Bit-Signatur-Client (der Pfad ist entsprechend bei der 32-Bit-Version anzupassen) öffnen Sie cmd.exe als Administrator und wechseln in das Verzeichnis „C:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\bin„.

 

Rufen Sie die 3 Befehlszeilen hintereinander auf.

Jeweils mit JA bestätigen bei der Rückfrage ob das Zertifikat hinzugefügt werden soll.

Das Passwort, das beim Keystore abgefragt wird, lautet: „changeit„.

 

keytool.exe -alias eANVportal-Wurzelzertifikat -importcert -file "c:\temp\DigiCertGlobalRootG2.cer" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"
keytool.exe -alias eANVportal-Intermediate-Zertifikat -importcert -file "c:\temp\ThawteTLSRASCAG1.cer" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"
keytool.exe -alias eANVportal-SSL-Endzertifikat -importcert -file "c:\temp\eanvportal.de.cer" -keystore "c:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\lib\security\cacerts"

Troubleshooting


Sollte die Fehlersuche keine Besserung gebracht haben, benötigen wir weitere Dateien zur Analyse.

Debugging aktivieren

  1. Im Installationsverzeichnis „C:\Program Files\Sign Live CC cloud suite bridge 7.1\demo\vmoptions\debug“ die Datei CSBridge.exe.vmoptions kopieren und ins Verzeichnis
    „C:\Program Files\Sign Live CC cloud suite bridge 7.1\bin“ einfügen.
  2. Den kompletten Inhalt von „C:\Program Files\Sign Live CC cloud suite bridge 7.1\bin\CSBridge.exe.vmoptions“ austauschen gegen

    -Djavax.net.debug
  3. Die Datei logback.xml im Verzeichnis „C:\Program Files\Sign Live CC cloud suite bridge 7.1\classes\config\“ um folgende Zeilen erweitern.Ergänzen Sie nach den bereits existierenden Loggern folgende Zeilen:
    <logger name="java.security" level="TRACE"/>
    <logger name="javax.net" level="TRACE"/>
    <!--logger name="javax.net.ssl" level="TRACE"/-->
    

Jetzt den Ordner %userprofile%\.CSBridge_7.1 öffnen und dort sämtliche Dateien, welche mit CSBridge* beginnen löschen.

Nun nochmals einen neuen Signaturvorgang starten und dann die neu erstellte CSBridge.log dem Axians eWaste Support zur Verfügung stellen.

Keystore auslesen

Öffnen Sie die Kommandozeilen Konsole als Administrator.

Wechseln Sie dort in das Verzeichnis: „C:\Program Files\Sign Live CC cloud suite bridge 7.1\jre\bin“

Führen Sie den Befehl:

keytool -list -cacerts >c:\temp\cacerts.txt

aus. Das Keystore-Kennwort ist wieder: changeit

c:\temp kann durch ein anderes temporäres Verzeichnis durch Sie selbst geändert werden. Die Datei cacerts.txt muss halt in ein beschreibbares Verzeichnis geschrieben werden.

Stellen Sie die Datei cacerts.txt dem Axians eWaste Support zur Verfügung.


Stand: 27.03.2024

Update: 21.11.2024

Zurück zur Übersicht