BeA

Wechseln zu: Navigation, Suche
Dieser Artikel beschreibt die Aktivierung des elektronischen Anwaltspostfachs mit einem einfachen Kartenlesegerät in der Web-Variante unter OpenSUSE


Getestet mit openSUSE Empfohlene Artikel Verwandte Artikel
Icon-checked.png

Icon-manual.png Icon-help.png


beA

Bea logo.png

BeA-Webclient-Software

Download für openSUSE:


Hersteller: Bundesrechtsanwaltskammer

Lizenz: Bundesrechtsanwaltskammer
Webseite: Download



Problemstellung

Ab dem 01.01.2018 ist das besondere elektronische Anwaltspostfach für Rechtsanwälte in Deutschland insofern verbindlich, als zu diesem Zeitpunkt die sog. „passive Nutzungspflicht“ hinsichtlich des Anwaltspostfachs eintritt. Nach § 31a VI BRAO n.F. ist der Inhaber des beA verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.


Hardware

Die günstigste Hardware aus der Liste der unterstützten Kartenlesegeräte sind momentan Einzelkartenlesegeräte, deren Installation deshalb hier beschrieben wird. Für andere Hardware nutzen Sie bitte die entsprechenden Downloadseiten des jeweiligen Herstellers.

Das Ghostscript, bzw. der Linux-Treiber für Cherry-Lesegeräte findet sich unter

(bitte nicht die CT-API herunterladen, diese wird für Gesundheitskarten gebraucht und blockiert die hier benötigten Einstellungen),

für Cardman-Geräte findet er sich unter

und für Reiner-SCT-Geräte unter


Installation

Installieren Sie die notwendigen Programme

sudo zypper install libusb-0_1-4 libpcsclite1 pcsc-ccid pcsc-lite

Laden Sie dann die oben genannte Herstellersoftware in Ihr Download-Verzeichnis herunter. Von dort verschieben Sie sie, um sie später leichter wieder auffinden zu können, am besten in das lokale bin-Verzeichnis und entpacken sie dort. Das sieht dann so aus:


Beispiel Cherry

mv ~/Downloads/scmccid_5.0.35_linux.zip ~/bin
cd ~/bin
unzip scmccid_5.0.35_linux.zip
cd ~/bin/scmccid_5.0.35_linux
tar -zxvf scmccid_5.0.35_linux_64bit.tar.gz
cd ~/bin/scmccid_5.0.35_linux/scmccid_5.0.35_linux
su
#>sh install.sh

In der Datei 

/usr/local/identiv/ini/scmccid.ini

sollten mit einem Editor wie kate am Ende die folgenden drei Zeilen ergänzt werden: 

CardResetOrder=1
ldd /usr/lib64/readers/scmccid.bundle/Contents/Linux/
LD_LIBRARY_PATH=/usr/local/lib pcscd


Beispiel Cardman

mv ~/Downloads/ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz ~/bin
cd ~/bin
tar -zxvf ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz
cd ~/bin/ifdokccid_linux_x86_64-v.4.3.2-1-d2622a7fbea0
su
#>./install


Beispiel Reiner SCT (RPM-Paket)

mv /tmp/mozilla_*0/pcsc-cyberjack-3.99.5*.rpm ~/bin
cd ~/bin
su
#>zypper ar ./ lokal
#>zypper in pcsc-cyberjack*.rpm

Ergänzend sollte der pcscd-Daemon zur besseren Kontrolle aktiviert werden mit

sudo systemctl enable pcscd.service

und dabei in der Datei 

/usr/lib/systemd/system/pcscd.service

als Superuser mit einem Editor wie kate allerdings der Eintrag '--auto-exit' für die nervige Energiesparabschaltung des Kartenlesers entfernt werden 

ExecStart=/usr/sbin/pcscd --foreground --auto-exit $PCSCD_OPTIONS

und hernach der pscd-Dienst neu gestartet werden mit

sudo service pcscd restart


Java von Oracle

Die beA-Software benötigt aus Sicherheitsgründen die originäre Java-Umgebung von Oracle. Die vom beA selbst mitgelieferte Version (im Unterverzeichnis jre) ist allerdings auf Linux-Systemen manchmal nicht lauffähig. Es empfiehlt sich hier die verlässlichere Installation per RPM. Das entsprechende RPM-Paket kann unter 

http://www.java.com/de/download/linux_manual.jsp?locale=de

heruntergeladen werden. Ab der Version Leap 42.1 muss hier zwingend das "x64-Paket" gewählt werden. Ich empfehle jedoch, statt dieser aktuellen lieber auf die überholte, aber vom beA verwendete Version zurückzugreifen. Diese findet sich in Oracles Liste archivierter Versionen unter 

https://www.oracle.com/de/java/technologies/javase/jdk11-archive-downloads.html&locale=de

Aktuell verwendet der beA-Webclient das Java Development Kit (JDK) in der Version 11.0.14.1. Das zugehörige Paket heißt nun "jdk-11.0.14_linux-x64_bin.rpm". Sollten Sie den beA-Webclient bereits installiert haben, gibt

less ~/bin/beAClientSecurity/jre/release | grep "JAVA_VERSION"


Auskunft über die von Ihrem Webclient bevorzugte JDK-Version. Eine ausführliche Beschreibung für die Installation des JDK finden Sie in der Anleitung SDB:Elster. Bitte verschieben Sie das mit Firefox heruntergeladene Paket wie folgt in Ihr bin-Verzeichnis:

mv ~/Downloads/jdk* ~/bin/
cd ~/bin
su


Als Superuser fügen Sie dann, falls noch nicht geschehen, Ihr bin-Verzeichnis, in dem Sie sich gerade befinden, den autorisierten Softwarequellen hinzu:

zypper ar ./ lokal

So suchen Sie das neuste JDK-Paket aus dem bin-Verzeichnis heraus und installieren es:

neuesjdk=$(ls -rt1 jdk-* | tail -1) && rpm -ivh --oldpackage --nodeps $neuesjdk
Anschließend können Sie, auch wenn es nicht notwendig ist, weil mehrere JDK nebeneinander betrieben werden können, ebenfalls als Superuser, das alte JRE-RPM, sofern vorhanden, deinstallieren:
altesjre=$(rpm -qa | grep jre) && rpm -e $altesjre

Zum Schluss wird, weiterhin als Superuser, die neue Java-Umgebung dem System als Alternative bekanntgemacht:

jdk=$(rpm -ql $(rpm -qa | grep jdk | tail -1) | head -3 | tail -1)

update-alternatives --install /usr/bin/java java $jdk/bin/java 1
update-alternatives --install /usr/bin/jcontrol jcontrol $jdk/bin/jcontrol 1
Sie können die neue Java-Umgebung auch dem System als Standard vorschlagen, was allerdings bei älteren Versionen nur bedingt empfehlenswert ist:
update-alternatives --set java $jdk/bin/java
update-alternatives --set jcontrol $jdk/bin/jcontrol

Diese Einstellungen können Sie für jedes der Programme jederzeit mit der Option --config wieder ändern, z.B.

update-alternatives --config java
Gelegentlich lassen sich Java-Anwendungen nach mehrmaligem Herumprobieren nicht mehr öffnen. Löschen Sie dann im Verzeichnis /root die versteckten Dateien 
.oracle_jre_usage
.java

beA-Software

Richten Sie, wieder als einfacher User, zur besseren Übersicht für beA ein eigenes Unterverzeichnis im bin-Ordner ein, in das Sie wechseln:

mkdir ~/bin/beA
cd ~/bin/beA

Laden Sie dort mit

wget https://installer.bea-brak.de/cs/installation/1/beAClientSecurity-Installation.tar.gz

die beA-Software herunter, und entpacken Sie sie an Ort und Stelle mit dem Befehl

tar -zxvf ~/bin/beA/beAClientSecurity-Installation.tar.gz


Anschließend wird das Programm mit

sudo ./beAClientSecurity-Installation.sh

als Superuser im Unterverzeichnis "opt" des Basisordners installiert. Auswahl des Ordners

Warnung! Das neue Basiskomponente 3.2.3 vom 4. Mai 2022 sieht eine komplette Neuinstallation vor, wobei man annehmen könnte, dass endlich auch eine lokale Installation allein für den jeweiligen User möglich sein könnte. Dem ist nicht so. Tatsächlich zeigen sich nämlich innerhalb der Anwendung als Einzelnutzer dann zahlreiche Fehler, weil nicht auf benötigte Super-User-Applets zugegriffen werden kann. Die Installation sollte also weiterhin für den Superuser unter /usr/local/beA/beAClientSecurity erfolgen und es muss dann auch in Zukunft der Root-Browser verwendet werden.

Die Java-Anwendung tauscht sich mit dem Browser per verschlüsselter Kommunikation aus. Nachdem die Atos Information Technology GmbH mit der Ausgabe eines einzigen dafür eingekauften Wurzelzertifikats der Dt. Telekom an alle Anwender im Dezember 2017 gegen sämtliche Regeln der Verschlüsselung verstoßen hatte, erstellt die Java-Anwendung nun stattdessen einmmalig ein für jeden Nutzer individuelles OpenPGP-Zertifikat. Dieses wird bei der Linux-Anwendung mit dem ersten Start im Hintergrund erzeugt. Für die Generierung des Schlüsselpaares benötigt die Java-Anwendung jedoch statt des von OpenSuse vorinstallierten Pakets kdesu das nicht mehr gepflegte, vormalige kdesudo. Dies kann heruntergeladen werden unter: 

https://software.opensuse.org/package/kdesudo?search_term=kdesudo

Für OpenSUSE 15.2 und 15.3 gibt es dort momentan keine Kandidaten. Es funktioniert jedoch das Tumbleweed-Paket:

su
# zypper addrepo https://download.opensuse.org/repositories/home:oan2718/openSUSE_Tumbleweed/home:oan2718.repo
# zypper refresh
# zypper install kdesudo-3.4.2.4-3.4.x86_64


Ergänzend müssen in der Datei /etc/sudoers die Variablen "DISPLAY" und "XAUTHORITY" hinterlegt werden. Dies erfolgt, indem beide in der folgenden Zeile hinter den anderen Eintragungen und vor dem Anführungszeichen eingesetzt werden: 

 Defaults env_keep = "... DISPLAY XAUTHORITY"


Anschließend werden nun alle offenen Firefox-Fenster geschlossen und die beA-Software als Superuser gestartet mit

su
#>sh /opt/beAClientSecurity/beAClientSecurity & firefox -new window "https://www.bea-brak.de/bea/"


"beA läuft nicht" - Warnmeldung
"beA läuft"-Icon in der Konsole
selbst erstellter Desktop-Icon

Zur Vereinfachung kann man einen Desktop-Icon im Verzeichnis Desktop mit folgendem Inhalt anlegen. Dabei wird per Eintrag in 'Exec' sowohl als Superuser der Web-Client im Hintergrund gestartet, als auch gleichzeitig (&-Verknüpfung, wenn möglich, bitte ohne Umbruch anschließen) der Firefox-Browser gleich mit der richtigen Anmeldeseite geöffnet: 

[Desktop Entry]
Comment[de_DE]=Dieser Icon startet den beA-Webclient im Root-Modus
Comment=This icon launches the beA-webclient-application as root
Exec=/usr/local/beAClientSecurity/beAClientSecurity & firefox -new window "https://www.bea-brak.de/bea/"
GenericName[de_DE]=Start des beA-Webclients
GenericName=Start des beA-Webclients
Icon=/usr/local/beAClientSecurity/.install4j/beAClientSecurity.png
MimeType=
Name[de_DE]=beA
Name=beA
Path=/opt/beAClientSecurity
StartupNotify=true
Terminal=false
TerminalOptions=
Type=Application
X-DBUS-ServiceName=
X-DBUS-StartupType=
X-KDE-SubstituteUID=true
X-KDE-Username=root
Hinweis: Der WebClient startet nicht ordnungsgemäß in der Konsole, solange die Karte noch im Lesegerät steckt!

Beim ersten Start der Anwendung muss das selbst erstellte Zertifikat zunächst noch im Browser hinterlegt werden. Dies erfolgt einmalig durch Drücken des beA-Icons in der Konsole mit der rechten Maustaste und die Auswahl "Zertifikat installieren" im Menü. Beim nächsten Start des Browsers wird hernach automatisch auf den Zertifikatschlüssel zugegriffen.

Erstregistrierung

Führen Sie die beA-Karte in das Lesegerät ein. Unter

klicken Sie nun "Registrierung mit eigenem Postfach" an. Es erscheint die folgende Einstiegsseite: Bea registrierung.png

Hier folgen Sie den weiteren Angaben.

Update

Wenn es ein Update für das beA gibt, erhalten Sie einen entsprechenden Hinweis nach der Authentifizierung per beA-Karte. Befolgen Sie die dort vorgeschlagenen Update-Schritte.

Neue beA-Karte

Die zum Zecke der Zertifikatsaktualisierung erhaltene neue Karte für 2023 können Sie mit dieser sehr detailgenauen Anleitung auch unter OpenSuse freischalten: 

https://portal.beasupport.de/fragen-antworten/kategorie/bea-karten-und-software-token/vorgehen-zur-aktivierung-einer-neuen-karte-sicherheitstoken

Troubleshooting

Es konnte keine Karte gefunden werden

Bitte installieren Sie immer die aktuelle Software-Version Ihres Kartenlesegeräts.

Hinweis "Für den Zugriff ... ist eine lokale Softwarekomponente, die beA Client-Security, erforderlich ..."

Bitte achten Sie darauf, den Browser ebenso wie die Java-Anwendung "beA Client-Security" immer als Superuser zu starten. Anderenfalls ist eine Kommunikation zwischen beiden nicht möglich. Möglicherweise müssen dafür zunächst alle offenen Browserfenster des bisherigen Users geschlossen werden, bevor Firefox den Browser tatsächlich neu als einen eigenen Prozess des Superusers startet. Beachten Sie, dass beim Starten der Anwendung die beA-Karte noch nicht ins Lesegerät eingesteckt sein sollte, sonst findet die Java-Anwendung den Kartenleser nicht.

Das Java-Programm startet, aber der beA-Icon erscheint anschließend nicht in der Konsole

Achten Sie beim Starten der Anwendung darauf, dass die beA-Karte noch nicht eingesteckt ist. Anderenfalls wartet die Java-Anwendung von Atos solange, bis Sie die Karte herausgezogen haben. Erst nach dem Start der Anwendung sollten Sie sie dann wieder einsetzen, um sie im folgenden Popup-Fenster als Sicherheitsmedium auswählen zu können.

Die Java-Anwendung startet, aber die Passwortabfrage folgt nicht nach

Es öffnet sich zur Auswahl des Sicherheitstokens ein neues Fenster. Dieses ist oft durch die Hauptbrowserseite verdeckt und muss erst "freigelegt" werden, um dort die Auswahl "Kartenlesegerät" anklicken zu können. Sehen Sie bitte nach, ob weitere Fenster geöffnet sind, in denen Sie die Auswahl vornehmen können.

Hinweis: "Der Server ist nicht erreichbar"

Möglicherweise haben Sie die Java-Anwendung wie vorgeschlagen erneut gestartet, so dass dessen Prozess-ID nun nicht mehr zum vorher geöffneten Browserfenster passt. Schließen Sie die Java-Anwendung durch rechten Mausklick auf dem beA-Icon in der Konsole und starten Sie dann Browser und Applet noch einmal komplett neu. Ignorieren Sie ggf. die Aufforderung zum Beenden der bisherigen beA-Java-Anwendung, indem Sie das Aufforderungsfenster einfach schließen.


Kartenverwaltung

beA-Standardkarte

Die Kartenverwaltung der Bundesnotarkammer arbeitet mit einer JNLP-Anwendung, die von den meisten Browsern aufgrund der zunehmenden Sicherheitsprobleme mit NPAPI-Plug-ins seit 2017 nicht mehr unterstützt wird. Um sie außerhalb des Browsers in einer eigenen Anwendung zu öffnen, gibt es die Möglichkeiten, entweder die Open-Source-Software Icedtea-Web oder die letzte Oracle-Version mit javaws-Erweiterung zu installieren.


Icedtea-Web

Installieren Sie Icedtea-Web per:

> sudo zypper in icedtea-web icedtea-web-javadoc

Anschließend laden Sie die bitte aktuelle Version des Hilfsprogramms für 'javaws'-Anwendungen 'openwebstart' von der Seite 

https://openwebstart.com/download/

herunter und verschieben es in das bin-Verzeichnis:

>mv ~/Downloads/OpenWebStart_*.deb ~/bin
>cd ~/bin

Anschließend installieren sie das Debian-Paket wie folgt [bitte aktuelle Version einsetzen]:

>sudo dpkg -i OpenWebStart_linux_1_7_0.deb


Nun sollte sich die beA-Kartenverwaltung öffnen lassen - unbedingt als Superuser, unter dem auch das beA-Postfach läuft:

# javaws https://bea.bnotk.de/sak/cardtool.jnlp


JavaWS-Erweiterung von Oracle

Alternativ deinstallieren Sie bitte die störende OpenSource-Anwendung icedtea-web mit

> sudo zypper rm icedtea-web

Falls Sie, was wahrscheinlich ist, keine Java-Version mit der Anwendung javaws mehr auf Ihrem Rechner im Unterverzeichnis /usr/java/ finden, laden Sie bitte das jüngste Java Runtime Environment (JRE) von der Download-Seite des Herstellers Oracle heruntergeladen, das noch javaws als isolierte Anwendung enthält. Suchen Sie dazu in der Archiv-Liste 

https://www.oracle.com/de/java/technologies/javase/javase8u211-later-archive-downloads.html

die Version 

jdk-8u251

Beim Anklicken startet der Download. Anschließend kann das Paket mit 

mv ~/Downloads/jdk-8u251*.rpm ~/bin

in das lokale Binärverzeichnis verschoben werden. Dieses kann als Superuser, falls noch nicht geschehen, den RPM-Verzeichnissen hinzugefügt werden mit

su
# zypper ar ./ lokal


und installiert werden per

#cd bin
# zypper in jdk-8u251*.rpm


Anschließend legen Sie auf das von Oracle im Java-Paket bereitgestellte javaws einen symbolischen Link:

# ln -s /usr/java/jdk1.8.0_251-amd64/bin/javaws /usr/bin/javaws


Nun lässt sich die beA-Kartenverwaltung öffnen - unbedingt als Superuser, unter dem auch das beA-Postfach läuft:

# javaws https://bea.bnotk.de/sak/cardtool.jnlp


Warnung! Momentan funktioniert unter den OpenSUSE-System 15.3 und 15.4 weder die Lösung mit Icedtea-Web, noch die bislang bewährte mit der letzten offiziellen JavaWS-Version. Es müssen damit Änderungen der Karteneinstellung wie der PIN künftig zwingend an einem Windowsrechner über die Seite 
https://onlinehilfe.bnotk.de/einrichtungen/zertifizierungsstelle/pin-aenderung.html
vorgenommen werden.



Karte mit Signaturzertifikat

Wenn Sie zusätzlich ein Signaturzertifikat für Ihre beA-Karte der ersten Generation bestellt haben, konnten Sie den für die Installation erforderlichen Transportcontainer nun ebenfalls mit javaws unter 

https://bea.bnotk.de/bestellung/index.html#/certificates

unter den Reitern Mein Konto > Meine Zertifikate herunterladen und diesen anschließend als Superuser in der Kartenverwaltung

# javaws https://bea.bnotk.de/sak/cardtool.jnlp

einsetzen. Bitte beachten Sie, dass Sie dafür die untere Auswahl der Karteninhalte wählen:

Aktivierung in der Signaturverwaltung


Externe Links

Abgerufen von „https://de.opensuse.org/index.php?title=BeA&oldid=43810