Bearbeiten von „BeA“

{{Knowledge|
*[https://de.opensuse.org/Portal:Tumbleweed Tumbleweed]
*[https://de.opensuse.org/Portal:15.0 Leap 15.1]
*[https://de.opensuse.org/Portal:15.0 Leap 15.0]
*[https://de.opensuse.org/Portal:42.3 Leap 42.3]
|
*[[Sun Java]]
*[[Java]]
*[[openJDK]]
*[[IcedTea]]
*[[SDB:YaST Tricks]]
|
*[[SDB:Elster]]
*[[SDB:EGVP]]
}}


== Einführung ==

Ab dem 01.01.2018 ist das [http://bea.brak.de/was-ist-das-bea/ besondere elektronische Anwaltspostfach] für Rechtsanwälte in Deutschland insofern verbindlich, als zu diesem Zeitpunkt die sog. „passive Nutzungspflicht“ hinsichtlich des Anwaltspostfachs eintritt. Nach [https://www.gesetze-im-internet.de/brao/__31a.html &sect; 31a VI BRAO n.F.] ist der Inhaber des beA verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.

----



==Hardware==

Die günstigste Hardware aus der [http://bea.brak.de/wp-content/uploads/2016/05/04_Tab2-a-und-2-b_unterstuetze-Chipkartenleser-mit-SigG-Best%C3%A4tigung.pdf Liste der unterstützten Kartenlesegeräte] sind momentan Einzelkartenlesegeräte, deren Installation deshalb hier beschrieben wird. Für andere Hardware nutzen Sie bitte die entsprechenden Downloadseiten des jeweiligen Herstellers.

Das Ghostscript, bzw. der Linux-Treiber für '''Cherry'''-Lesegeräte findet sich unter
* https://cherry.de/download/de/download.php
(bitte nicht die CT-API herunterladen, diese wird für Gesundheitskarten gebraucht und blockiert die hier benötigten Einstellungen),

für '''Cardman'''-Geräte findet er sich unter
* https://www.hidglobal.de/drivers
und für '''Reiner-SCT'''-Geräte unter
* https://www.reiner-sct.com/support/support-anfrage/ .

==Installation==

Installieren Sie die notwendigen Programme
{{shell|sudo zypper install libusb-0_1-4 libpcsclite1 pcsc-ccid pcsc-lite}}
Laden Sie dann die oben genannte  
Herstellersoftware in Ihr Download-Verzeichnis herunter. Von dort verschieben Sie sie, um sie später leichter wieder auffinden zu können, am besten in das lokale bin-Verzeichnis und entpacken sie dort. Das sieht dann so aus:


===Beispiel Cherry===
{{shell|mv ~/Downloads/scmccid_5.0.35_linux.zip ~/bin<br>cd ~/bin<br>unzip scmccid_5.0.35_linux.zip<br>cd ~/bin/scmccid_5.0.35_linux<br>tar -zxvf scmccid_5.0.35_linux_64bit.tar.gz<br>cd ~/bin/scmccid_5.0.35_linux/scmccid_5.0.35_linux<br>su<br>#>sh install.sh
}}
In der Datei
 /usr/local/identiv/ini/scmccid.ini 
sollten mit einem Editor wie ''kate'' am Ende die folgenden drei Zeilen ergänzt werden:
 CardResetOrder=1
 ldd /usr/lib64/readers/scmccid.bundle/Contents/Linux/
 LD_LIBRARY_PATH=/usr/local/lib pcscd

===Beispiel Cardman===
{{shell|mv ~/Downloads/ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz ~/bin<br>cd ~/bin<br>tar -zxvf ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz<br>cd ~/bin/ifdokccid_linux_x86_64-v.4.3.2-1-d2622a7fbea0<br>su<br>#>./install
}}

===Beispiel Reiner SCT (RPM-Paket)===
{{shell|mv /tmp/mozilla_*0/pcsc-cyberjack-3.99.5*.rpm ~/bin<br>cd ~/bin<br>su<br>#>zypper ar ./ lokal<br>#>zypper in pcsc-cyberjack*.rpm
}}
Ergänzend sollte der pcscd-Daemon zur besseren Kontrolle aktiviert werden mit
 {{shell|sudo systemctl enable pcscd.service
}}
und dabei in der Datei
 /usr/lib/systemd/system/pcscd.service
als ''Superuser'' mit einem Editor wie ''kate'' allerdings der Eintrag '--auto-exit' für die nervige Energiesparabschaltung des Kartenlesers entfernt werden
 ExecStart=/usr/sbin/pcscd --foreground <s>--auto-exit </s>$PCSCD_OPTIONS
und hernach der pscd-Dienst neu gestartet werden mit
 {{shell|sudo service pcscd restart
}}

===Test der Installation (optional)===
{{shell | wget https://www.seccommerce.biz/seccardadmin/seccardadmin.jnlp<br>javaws seccardadmin.jnlp}}

==Java von Oracle==

Die beA-Software benötigt aus Sicherheitsgründen die originäre ''Java''-Umgebung von Oracle. Die vom beA selbst mitgelieferte  Version (im Unterverzeichnis jre) war bei mir allerdings nicht lauffähig. Es empfiehlt sich hier die verlässlichere Installation per RPM. Das entsprechende RPM-Paket kann unter
 http://www.java.com/de/download/linux_manual.jsp?locale=de
heruntergeladen werden. Ab der Version [[Portal:42.1|Leap 42.1]] muss hier zwingend das "x64-Paket" gewählt werden. Ich empfehle jedoch, statt dieser aktuellen lieber auf die überholte, aber vom beA verwendete Version zurückzugreifen. Diese findet sich in Oracles Liste archivierter Versionen unter
 http://www.oracle.com/technetwork/java/javase/downloads/java-archive-javase8-2177648.html
Momentan (Dezember 2019) verwendet der beA-Webclient das Java Runtime Environment (JRE) in der Version jre1.8.0_161. Das zugehörige Paket heißt dann "jre-8u161-linux-x64.rpm". Sollten Sie den beA-Webclient bereits installiert haben, gibt
 {{shell|less ~/bin/beA/jre/release &#124; grep "JAVA_VERSION"}}
Auskunft über die von Ihrem Webclient bevorzugte JRE-Version. Eine ausführliche Beschreibung für die Installation der JRE finden Sie in der Anleitung [[SDB:Elster]]. Bitte verschieben Sie das mit Firefox heruntergeladene Paket wie folgt in Ihr bin-Verzeichnis:
{{shell|mv ~/Downloads/jre* ~/bin/<br>cd ~/bin<br>su}}

Als ''Superuser'' fügen Sie dann, falls noch nicht geschehen, Ihr bin-Verzeichnis, in dem Sie sich gerade befinden, den autorisierten Softwarequellen hinzu:
{{shell|zypper ar ./ lokal}}
{{info|Anschließend können Sie, auch wenn es nicht notwendig ist, weil mehrere JRE nebeneinander betrieben werden können, ebenfalls als ''Superuser'', das alte JRE-RPM, sofern vorhanden, deinstallieren:
{{shell|altesjre&#61;$(rpm -qa &#124; grep jre) && rpm -e $altesjre}}
}}
So suchen Sie das neuste JRE-Paket aus dem bin-Verzeichnis heraus und installieren Sie es:
{{shell|neuesjre&#61;$(ls -rt1 jre-* &#124; tail -1) && rpm -ivh --nodeps $neuesjre
}}
Zum Schluss wird, weiterhin als ''Superuser'', die neue Java-Umgebung dem System als Alternative bekanntgemacht:
{{shell|jre&#61;$(rpm -ql $(rpm -qa &#124; grep jre &#124; head -1) &#124; grep \/README &#124; sed "s/\/README//")<br><br>update-alternatives --install /usr/bin/java java $jre/bin/java 1<br>update-alternatives --install /usr/bin/jcontrol jcontrol $jre/bin/jcontrol 1}}
{{info|Sie können die neue Java-Umgebung auch dem System als Standard vorschlagen, was allerdings bei älteren Versionen nur bedingt empfehlenswert ist:}}
{{shell|update-alternatives --set java $jre/bin/java<br>update-alternatives --set jcontrol $jre/bin/jcontrol}}
Diese Einstellungen können Sie für jedes der Programme jederzeit mit der Option --config wieder ändern, z.B.
 {{shell|update-alternatives --config java}}
{{info|Gelegentlich lassen sich Java-Anwendungen nach mehrmaligem Herumprobieren nicht mehr öffnen. Löschen Sie dann im Verzeichnis <tt>/root</tt> die versteckten Dateien
 .oracle_jre_usage
 .java
}}

==beA-Software==

Richten Sie, wieder als einfacher User, zur besseren Übersicht für beA ein eigenes Unterverzeichnis im bin-Ordner ein, in das Sie wechseln: 
{{shell|mkdir ~/bin/beA<br>cd ~/bin/beA
}}
Laden Sie dort mit
{{shell|wget https://www.bea-brak.de/content/linux/beAClientSecurity_64b.tar.gz
}}
die beA-Software herunter, und entpacken Sie sie an Ort und Stelle mit dem Befehl
{{shell|tar -zxvf ~/bin/beA/beAClientSecurity_64b.tar.gz
}}

Anschließend muss der neue Java-Pfad zum eigenen Programm in die beA-Software eingefügt werden, und die neue Datei muss ausführbar gemacht werden:
{{shell|mv -i beAClientSecurity.sh beAClientSecurity.old<br>jre&#61;$(rpm -qa &#124; grep jre &#124; head -1 &#124; sed s/jre...-/jre/ &#124; sed s/-.*$//)<br>less beAClientSecurity.old &#124; sed "s/..jre/\/usr\/java\/$jre/" > beAClientSecurity.sh<br>chmod u+x beAClientSecurity.sh
}}

Nachdem die Atos Information Technology GmbH mit der Ausgabe eines Wurzelzertifikats im Dezember 2017 gegen alle Regeln der Verschlüsselung verstoßen hatte, Die Java-Anwendung kommuniziert mit dem Browswer über per verschlüsselter Kommunikation. Dafür erstellt die Java-Anwendung einmmalig ein für jeden Nutzer individuell erstelltes Zertifikat. Dieses wird bei der Linux-Anwendung mit dem ersten Start im Hintergrund erzeugt. Für die Generierung des Schlüsselpaares benötigt die Java-Anwendung jedoch statt des von OpenSuse vorinstallierten Pakets ''kdesu'' das nicht mehr gepflegte, vormalige ''kdesudo''. Dies kann heruntergeladen werden unter:
 https://software.opensuse.org/package/kdesudo?search_term=kdesudo
Ergänzend müssen in der Datei <tt>/etc/sudoers</tt> die Variablen "DISPLAY" und "XAUTHORITY" hinterlegt werden. Dies erfolgt, indem beide in der folgenden Zeile hinter den anderen Eintragungen und vor dem Anführungszeichen eingesetzt werden:
  Defaults env_keep = "... DISPLAY XAUTHORITY"


Anschließend wird nun die beA-Software als ''Superuser'' installiert
{{shell|su<br>#>sh beAClientSecurity.sh
}}

[[Datei:BeA_läuftnicht.png|200px|thumb|right|"beA läuft nicht" - Warnmeldung]]
[[Datei:Bea_konsole.png|200px|thumb|right|"beA läuft"-Icon in der Konsole]]
[[Datei:Bea_desktop.png|200px|thumb|right|selbst erstellter Desktop-Icon]]
Anschließend kann man einen Desktop-Icon im Verzeichnis ''Desktop'' mit folgendem Inhalt anlegen. Dabei wird per Eintrag in 'Exec' sowohl der Firefox-Browser gleich mit der richtigen Anmeldeseite geöffnet, als auch gleichzeitig (&-Verknüpfung, wenn möglich, bitte ohne Umbruch anschließen) als ''Superuser'' der Web-Client im Hintergrund gestartet:
 [Desktop Entry]
 Comment[de_DE]=Dieser Icon startet den beA-Webclient im Root-Modus
 Comment=This icon launches the beA-webclient-application as root
 Exec=firefox -new window "https://www.bea-brak.de/bea/" 
      & /home/MEINNUTZERNAME/bin/beA/beAClientSecurity.sh
 GenericName[de_DE]=Start des beA-Webclients
 GenericName=Start des beA-Webclients
 Icon=kube-mail
 MimeType=
 Name[de_DE]=beA
 Name=beA
 Path=/home/MEINNUTZERNAME/bin/beA
 StartupNotify=true
 Terminal=false
 TerminalOptions=
 Type=Application
 X-DBUS-ServiceName=
 X-DBUS-StartupType=
 X-KDE-SubstituteUID=true
 X-KDE-Username=root

{{info|Hinweis: Der WebClient startet nicht ordnungsgemäß in der Konsole, solange die Karte noch im Lesegerät steckt!}}
Beim ersten Start der Anwendung muss das selbst erstellte Zertifikat zunächst noch im Browser hinterlegt werden. Dies erfolgt einmalig durch Drücken des beA-Icons in der Konsole mit der rechten Maustaste und die Auswahl "Zertifikat installieren" im Menü. Beim nächsten Start des Browsers wird hernach automatisch auf den Zertifikatschlüssel zugegriffen.

==Erstregistrierung==

Führen Sie die beA-Karte in das Lesegerät ein. Unter
* https://www.bea-brak.de/bea/index.xhtml?dswid=-9192
klicken Sie nun "Registrierung mit eigenem Postfach" an. Es erscheint die folgende Einstiegsseite:
[[Bild:Bea_registrierung.png|700px]]

Hier folgen Sie den weiteren Angaben.

==Troubleshooting==
===Es konnte keine Karte gefunden werden===
Bitte installieren Sie immer die aktuelle Software-Version Ihres Kartenlesegeräts.
===Hinweis "Für den Zugriff ... ist eine lokale Softwarekomponente, die beA Client-Security, erforderlich ..."===
Bitte achten Sie darauf, den Browser ebenso wie die Java-Anwendung "beA Client-Security" immer als Superuser zu starten. Anderenfalls ist eine Kommunikation zwischen beiden nicht möglich. Möglicherweise müssen dafür zunächst alle offenen Browserfenster des bisherigen Users geschlossen werden, bevor Firefox den Browser tatsächlich neu als einen eigenen Prozess des Superusers startet.

===Das Java-Programm startet, aber der beA-Icon erscheint anschließend nicht in der Konsole===
Achten Sie beim Starten der Anwendung darauf, dass die beA-Karte noch nicht eingesteckt ist. Anderenfalls wartet die Java-Anwendung von Atos solange, bis Sie die Karte herausgezogen haben. Erst nach dem Start der Anwendung sollten Sie sie dann wieder einsetzen, um sie im folgenden Popup-Fenster als Sicherheitsmedium auswählen zu können. 

Sollte dies weiterhin nicht funktionieren, können Sie die Sicherheitseinstellungen der JRE ändern, indem Sie als Superuser 
{{shell|# /usr/java/jre1.8.0_161/bin/ControlPanel}}
aufrufen und unter dem Reiter "Sicherheit" die Adresse "https://www.bea-brak.de" in die Ausnahmeliste der Adressen eintragen, für welche die Standardsicherheitseinstellungen nicht gelten sollen.

===Die Java-Anwendung startet, aber die Passwortabfrage folgt nicht nach===
Es öffnet sich zur Auswahl des Sicherheitstokens ein neues Fenster. Dieses ist oft durch die Hauptbrowserseite verdeckt und muss erst "freigelegt" werden, um dort die Auswahl "Kartenlesegerät" anklicken zu können. Sehen Sie bitte nach, ob weitere Fenster geöffnet sind, in denen Sie die Auswahl vornehmen können.

===Hinweis: "Der Server ist nicht erreichbar"===
Möglicherweise haben Sie die Java-Anwendung wie vorgeschlagen erneut gestartet, so dass dessen Prozess-ID nun nicht mehr zum vorher geöffneten Browserfenster passt. Schließen Sie die Java-Anwendung durch rechten Mausklick auf dem beA-Icon in der Konsole und starten Sie dann Browser und Applet noch einmal komplett neu. Ignorieren Sie ggf. die Aufforderung zum Beenden der bisherigen beA-Java-Anwendung, indem Sie das Aufforderungsfenster einfach schließen.

==Kartenverwaltung==
===beA-Standardkarte===
Die Kartenverwaltung der Bundesnotarkammer arbeitet mit einer JNLP-Anwendung, die von den meisten Browsern aufgrund der zunehmenden Sicherheitsprobleme mit [https://en.wikipedia.org/wiki/NPAPI NPAPI]-Plug-ins seit 2017 nicht mehr unterstützt wird. Um sie außerhalb des Browsers in einer eigenen Anwendung zu öffnen, deinstallieren Sie bitte die störende OpenSource-Anwendung ''icedtea-web'' mit
{{shell|> sudo zypper rm icedtea-web}}
und legen Sie auf das von Oracle im Java-Paket bereitgestellte ''javaws'' einen symbolischen Link:
{{shell|> sudo ln -s /usr/java/latest/bin/javaws /usr/bin/javaws}}
Nun lässt sich die beA-Kartenverwaltung öffnen - unbedingt als Superuser, unter dem auch das beA-Postfach läuft:
{{shell|# javaws https://bea.bnotk.de/sak/cardtool.jnlp}}

===Karte mit Signaturzertifikat===
Wenn Sie zusätzlich ein Signaturzertifikat für Ihre beA-Karte bestellt haben, können Sie den für die Installation erforderlichen Transportcontainer nun ebenfalls mit ''javaws'' unter
 https://bea.bnotk.de/bestellung/index.html#/certificates
unter den Reitern ''Mein Konto'' > ''Meine Zertifikate'' herunterladen und diesen anschließend als Superuser in der Kartenverwaltung 
 {{shell|# javaws https://bea.bnotk.de/sak/cardtool.jnlp}}
einsetzen. Bitte beachten Sie, dass Sie dafür die untere Auswahl der Karteninhalte wählen:
[[Datei:Bea_signaturkarte.png|700px|thumb|left|Aktivierung in der Signaturverwaltung]]

----

==Externe Links==

* https://de.opensuse.org/SDB:Elster
* http://bea.brak.de/wie-funktioniert-bea/was-ist-das-bea/
* https://www.bea-brak.de/bea/index.xhtml
* https://www.suse.com/c/running-graphical-programs-remotely-root/
* https://unix.stackexchange.com/questions/16815/what-does-display-0-0-actually-mean{{DEFAULTSORT:{{PAGENAME}}}}

[[Category:Linuxinstallation]]