BeA

Wechseln zu: Navigation, Suche
Dieser Artikel beschreibt die Aktivierung des elektronischen Anwaltspostfachs mit einem einfachen Kartenlesegerät in der Web-Variante unter OpenSUSE


Getestet mit openSUSE Empfohlene Artikel Verwandte Artikel
Icon-checked.png

Icon-manual.png Icon-help.png


beA

Bea logo.png

BeA-Webclient-Software

Download für openSUSE:


Hersteller: Bundesrechtsanwaltskammer

Lizenz: Bundesrechtsanwaltskammer
Webseite: Download



Problemstellung

Ab dem 01.01.2018 ist das besondere elektronische Anwaltspostfach für Rechtsanwälte in Deutschland insofern verbindlich, als zu diesem Zeitpunkt die sog. „passive Nutzungspflicht“ hinsichtlich des Anwaltspostfachs eintritt. Nach § 31a VI BRAO n.F. ist der Inhaber des beA verpflichtet, die für dessen Nutzung erforderlichen technischen Einrichtungen vorzuhalten sowie Zustellungen und den Zugang von Mitteilungen über das besondere elektronische Anwaltspostfach zur Kenntnis zu nehmen.


Hardware

Die günstigste Hardware aus der Liste der unterstützten Kartenlesegeräte sind momentan Einzelkartenlesegeräte, deren Installation deshalb hier beschrieben wird. Für andere Hardware nutzen Sie bitte die entsprechenden Downloadseiten des jeweiligen Herstellers.

Das Ghostscript, bzw. der Linux-Treiber für Cherry-Lesegeräte findet sich unter

(bitte nicht die CT-API herunterladen, diese wird für Gesundheitskarten gebraucht und blockiert die hier benötigten Einstellungen),

für Cardman-Geräte findet er sich unter

und für Reiner-SCT-Geräte unter

Installation

Installieren Sie die notwendigen Programme

sudo zypper install libusb-0_1-4 libpcsclite1 pcsc-ccid pcsc-lite

Laden Sie dann die oben genannte Herstellersoftware in Ihr Download-Verzeichnis herunter. Von dort verschieben Sie sie, um sie später leichter wieder auffinden zu können, am besten in das lokale bin-Verzeichnis und entpacken sie dort. Das sieht dann so aus:


Beispiel Cherry

mv ~/Downloads/scmccid_5.0.35_linux.zip ~/bin
cd ~/bin
unzip scmccid_5.0.35_linux.zip
cd ~/bin/scmccid_5.0.35_linux
tar -zxvf scmccid_5.0.35_linux_64bit.tar.gz
cd ~/bin/scmccid_5.0.35_linux/scmccid_5.0.35_linux
su
#>sh install.sh

In der Datei

/usr/local/identiv/ini/scmccid.ini 

sollten mit einem Editor wie kate am Ende die folgenden drei Zeilen ergänzt werden:

CardResetOrder=1
ldd /usr/lib64/readers/scmccid.bundle/Contents/Linux/
LD_LIBRARY_PATH=/usr/local/lib pcscd

Beispiel Cardman

mv ~/download/ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz ~/bin
cd ~/bin
tar -zxvf ifdokccid_linux_v.4.3.2-1-d2622a7fbea0.tar.gz
cd ~/bin/ifdokccid_linux_x86_64-v.4.3.2-1-d2622a7fbea0
su
#>./install


Beispiel Reiner SCT (RPM-Paket)

mv ~/Downloads/pcsc-cyberjack-3.99.5*.rpm ~/bin
cd ~/bin
su
#>zypper ar ./ lokal
#>zypper in pcsc-cyberjack*.rpm

Ergänzend sollte der pcscd-Daemon zur besseren Kontrolle aktiviert werden mit

sudo systemctl enable pcscd.service

und dabei in der Datei

/usr/lib/systemd/system/pcscd.service

als Superuser mit einem Editor wie kate allerdings der Eintrag '--auto-exit' für die nervige Energiesparabschaltung des Kartenlesers entfernt werden

ExecStart=/usr/sbin/pcscd --foreground --auto-exit $PCSCD_OPTIONS

und hernach der pscd-Dienst neu gestartet werden mit

sudo service pcscd restart


Test der Installation (optional)


Java von Oracle

Die beA-Software benötigt aus Sicherheitsgründen die originäre Java-Umgebung von Oracle. Die vom beA selbst mitgelieferte Version (im Unterverzeichnis jre) war bei mir allerdings nicht lauffähig. Es empfiehlt sich hier die verlässlichere Installation per RPM. Das entsprechende RPM-Paket kann unter

http://www.java.com/de/download/linux_manual.jsp?locale=de

heruntergeladen werden. Ab der Version Leap 42.1 muss hier zwingend das "x64-Paket" gewählt werden. Ich empfehle jedoch, statt dieser aktuellen lieber auf die überholte, aber vom beA verwendete Version zurückzugreifen. Diese findet sich in Oracles Liste archivierter Versionen unter

http://www.oracle.com/technetwork/java/javase/downloads/java-archive-javase8-2177648.html

Momentan (Oktober 2018) verwendet der beA-Webclient das Java Runtime Environment (JRE) in der Version jre1.8.0_161. Das zugehörige Paket heißt dann "jre-8u161-linux-x64.rpm". Sollten Sie den beA-Webclient bereits installiert haben, gibt

less ~/bin/beA/jre/release | grep "JAVA_VERSION"

Auskunft über die von Ihrem Webclient bevorzugte JRE-Version. Eine ausführliche Beschreibung für die Installation der JRE finden Sie in der Anleitung SDB:Elster. Bitte verschieben Sie das mit Firefox heruntergeladene Paket wie folgt in Ihr bin-Verzeichnis:

mv ~/Downloads/jre* ~/bin/
cd ~/bin
su


Als Superuser fügen Sie dann, falls noch nicht geschehen, Ihr bin-Verzeichnis, in dem Sie sich gerade befinden, den autorisierten Softwarequellen hinzu:

zypper ar ./ lokal
Anschließend können Sie, auch wenn es nicht notwendig ist, weil mehrere JRE nebeneinander betrieben werden können, ebenfalls als Superuser, das alte JRE-RPM, sofern vorhanden, deinstallieren:
altesjre=$(rpm -qa | grep jre) && rpm -e $altesjre

So suchen Sie das neuste JRE-Paket aus dem bin-Verzeichnis heraus und installieren Sie es:

neuesjre=$(ls -rt1 jre-* | tail -1) && rpm -ivh --nodeps $neuesjre
Der WebClient benötigt nicht das mit der Java-Umgebung mitgelieferte Browser-Plugin, um sich mit dem Browser zu verbinden, es lauscht auf einen Port. Von der Installation betagter NPAPi-Plugins ist abzuraten, weil sie als Sicherheitsrisiko gewertet werden und von Firefox (Ausname: Version 52 ESR), Chrome und Opera seit März 2017 auch nicht mehr unterstützt werden. Wenn Sie es dennoch einrichten wollen, ist dies der Befehl:
plugin=$(rpm -ql $(rpm -qa | grep jre) | grep libnpjp2.so) && ln -svf "$plugin" /usr/lib64/browser-plugins

Zum Schluss wird, weiterhin als Superuser, die neue Java-Umgebung dem System als Alternative bekanntgemacht:

jre=$(rpm -ql $(rpm -qa | grep jre | head -1) | grep \/README | sed "s/\/README//")

update-alternatives --install /usr/bin/java java $jre/bin/java 1
update-alternatives --install /usr/bin/jcontrol jcontrol $jre/bin/jcontrol 1
Sie können die neue Java-Umgebung auch dem System als Standard vorschlagen, was allerdings bei älteren Versionen nur bedingt empfehlenswert ist:
update-alternatives --set java $jre/bin/java
update-alternatives --set jcontrol $jre/bin/jcontrol

Diese Einstellungen können Sie für jedes der Programme jederzeit mit der Option --config wieder ändern, z.B.

update-alternatives --config java
Gelegentlich lassen sich Java-Anwendungen nach mehrmaligem Herumprobieren nicht mehr öffnen. Löschen Sie dann im Verzeichnis /root die versteckten Dateien
.oracle_jre_usage
.java

beA-Software

Warnung!Sollten Sie noch eine Altversion für das im Dezember abgeschaltete alte bea-Postfach auf dem Rechner installiert haben, muss diese zunächst entfernt werden.

Gehen Sie dazu bitte wie folgt vor:

cd ~/bin
su

Löschen sie zunächst das womöglich nach der bea-Anleitung im Dezember heruntergeladene illegitime Wurzelzertifikat bealocalhost mithilfe Ihrer Zertifikatsverwaltung

kdesudo kleopatra

Als Superuser entfernen sie nun die eigens für das beA-Postfach installierte veraltete Java-Umgebung (Version 8.65) und löschen zuvor alle dazu vorgenommenen Einträge aus der Liste der angebotenen Java-Alternativen:

jre=$(rpm -ql $(rpm -qa | grep 'jre.*65') | grep \/README | sed "s/\/README//")

update-alternatives --remove java $jre/bin/java
update-alternatives --remove javaws $jre/bin/javaws
update-alternatives --remove jcontrol $jre/bin/jcontrol
update-alternatives --remove jjs $jre/bin/jjs

rpm=$(ls jre*8u65*.rpm)
rpm -e $rpm

Dann löschen Sie die vom beA-Postfach angelegten Libraries und Verzeichnisse, zuletzt das Programm selbst:

rm -r ~/BRAK
rm -r ~/Governikus*
rm ~/govello20.properties

rm -r beA

Am Ende entfernen Sie das Programm noch aus der Bootdatei, von wo aus es automatisch beim Hochfahren gestartet werden sollte:

sed -i '/.\/beAClientSecurity.sh/d' /etc/init.d/after.local

Richten Sie, wieder als einfacher User, nun zur besseren Übersicht für beA ein eigenes Unterverzeichnis im bin-Ordner ein, in das Sie wechseln:

mkdir ~/bin/beA
cd ~/bin/beA

Laden Sie dort mit

die beA-Software herunter, und entpacken Sie sie an Ort und Stelle mit dem Befehl

tar -zxvf ~/bin/beA/beAClientSecurity_64b.tar.gz


Anschließend muss der neue Java-Pfad zum eigenen Programm in die beA-Software eingefügt werden, und die neue Datei muss ausführbar gemacht werden:

mv -i beAClientSecurity.sh beAClientSecurity.old
jre=$(rpm -qa | grep jre | head -1 | sed s/jre...-/jre/ | sed s/-.*$//)
less beAClientSecurity.old | sed "s/..jre/\/usr\/java\/$jre/" > beAClientSecurity.sh
chmod u+x beAClientSecurity.sh


Nachdem die Atos Information Technology GmbH mit der Ausgabe eines Wurzelzertifikats im Dezember 2017 gegen alle Regeln der Verschlüsselung verstoßen hatte, benutzt sie für weiterhin nötige verschlüsselte Kommunikation zwischen Rechner und Browser nunmehr ein bei jedem Nutzer individuell erstelltes Zertifikat. Dieses wird bei der Linux-Anwendung mit dem ersten Start im Hintergrund erzeugt. Für die Generierung des Schlüsselpaares benötigt die Java-Anwendung jedoch statt des von OpenSuse vorinstallierten Pakets kdesu das nicht mehr gepflegte, vormalige kdesudo. Dies kann heruntergeladen werden unter:

https://software.opensuse.org/package/kdesudo?search_term=kdesudo

Ergänzend müssen in der Datei /etc/sudoers die Variablen "DISPLAY" und "XAUTHORITY" hinterlegt werden. Dies erfolgt, indem beide in der folgenden Zeile hinter den anderen Eintragungen und vor dem Anführungszeichen eingesetzt werden:

 Defaults env_keep = "... DISPLAY XAUTHORITY"


Anschließend wird nun die beA-Software als Superuser installiert

su
#>sh beAClientSecurity.sh

und, damit der beA-Client bereits beim Hochfahren aktiviert wird, auch gleich der Boot-Datei für den Runlevel 5 angehängt:

pwd | sed s/^/cd\ / >> /etc/init.d/after.local
echo "./beAClientSecurity.sh" >> /etc/init.d/after.local


"beA läuft nicht" - Warnmeldung
"beA läuft"-Icon in der Konsole
selbst erstellter Desktop-Icon

Falls dies - wie bei mir - nicht gelingen mag, kann man sich stattdessen auch einen Desktop-Icon im Verzeichnis Desktop mit folgendem Inhalt anlegen. Dabei wird per Eintrag in 'Exec' sowohl der Firefox-Browser gleich mit der richtigen Anmeldeseite geöffnet, als auch gleichzeitig (&-Verknüpfung, wenn möglich, bitte ohne Umbruch anschließen) als Superuser der Web-Client im Hintergrund gestartet:

[Desktop Entry]
Comment[de_DE]=Dieser Icon startet den beA-Webclient im Root-Modus
Comment=This icon launches the beA-webclient-application as root
Exec=firefox -new window "https://www.bea-brak.de/bea/" 
     & /home/MEINNUTZERNAME/bin/beA/beAClientSecurity.sh
GenericName[de_DE]=Start des beA-Webclients
GenericName=Start des beA-Webclients
Icon=kube-mail
MimeType=
Name[de_DE]=beA
Name=beA
Path=/home/MEINNUTZERNAME/bin/beA
StartupNotify=true
Terminal=false
TerminalOptions=
Type=Application
X-DBUS-ServiceName=
X-DBUS-StartupType=
X-KDE-SubstituteUID=true
X-KDE-Username=root

Beim ersten Start der Anwendung muss das selbst erstellte Zertifikat zunächst noch im Browser hinterlegt werden. Dies erfolgt einmalig durch Drücken des beA-Icons in der Konsole mit der rechten Maustaste und Auswahl "Zertifikat installieren" im Menü. Beim nächsten Start des Browsers wird hernach automatisch auf den Zertifikatschlüssel zugegriffen.

Erstregistrierung

Führen Sie die beA-Karte in das Lesegerät ein. Unter

klicken Sie nun "Registrierung mit eigenem Postfach" an. Es erscheint die folgende Einstiegsseite: Bea registrierung.png

Hier folgen Sie den weiteren Angaben.


Externe Links