6.4.4    Schlüssel wählen

Auf dieser Dialogseite können Sie wählen, mit welchem Signaturschlüssel Sie Dateien elektronisch signieren wollen.

6.4.4.1       Signaturniveau

In diesem Dialogabschnitt können Sie vorgeben, mit welchem Signaturniveau Sie die Dateien signieren wollen.

Hinweis

Hinweis: Das ausgewählte Signaturniveau wird auf der letzten Dialogseite "Signieren" erneut angezeigt. Bitte überprüfen Sie auf dieser Seite erneut die gewählte Einstellung.

Die folgende Auswahl steht zur Verfügung:

·     Alle: Mit dieser Auswahl bestehen keine Einschränkungen, es können auch Schlüssel genutzt werden, die ursprünglich zur Authentisierung oder Verschlüsselung erstellt wurden.

·     Fortgeschritten: Mit dieser Auswahl können Sie Softwareschlüssel vom Dateisystem auswählen. Zudem können Sie auch Schlüssel von einer Signaturkarte auswählen. Dabei werden allerdings im Dialogabschnitt "Schlüsselauswahl" nur die Schlüssel von der Signaturkarte angezeigt, die nicht für qualifizierte Signaturen geeignet sind.

·     Qualifiziert: Mit dieser Auswahl wird die Möglichkeit ausgegraut, Softwareschlüssel aus dem Dateisystem auszuwählen. Sie müssen einen Schlüssel von einer Signaturkarte auswählen, die in einem angeschlossenen Chipkartenleser zur Verfügung steht. Bitte beachten Sie, dass qualifizierte Signaturen der eigenhändigen Unterschrift rechtlich gleichgestellt sind. Im Feld Schlüsselauswahl werden nur Schlüssel angezeigt, die für eine qualifizierte Signatur geeignet sind.

6.4.4.2       Speicherort des Schlüssels

In diesem Dialogabschnitt können Sie auswählen, woher Sie den Schlüssel für die Erstellung der Signatur beziehen wollen. Die folgenden Kapitel erklären die Möglichkeiten in diesem Dialogabschnitt.

6.4.4.2.1   Schlüssel aus Datei laden

Bitte beachten Sie, dass Sie mit einem Schlüssel aus einer Datei nur fortgeschrittene Signaturen erstellen können. Sie müssen daher im Dialogabschnitt „Signaturniveau“, siehe oben, die Option „Fortgeschritten“ auswählen. Wenn das Signaturniveau „Qualifiziert“ ausgewählt ist, ist die Option „Schlüssel aus Datei laden“ ausgegraut.

Wenn Sie einen Schlüssel aus einer Datei laden wollen, klicken Sie auf das Symbol „Schlüssel aus Datei laden“ und navigieren Sie an die Stelle im Dateisystem, an der dieser Schlüssel abgelegt ist.

Es muss ein Keystore geladen werden, dessen Dateiname mit dem Suffix p12 oder pfx endet. Ein Keystore enthält ein Softwarezertifikat und das benötigte Schlüsselpaar für die asymmetrische Verschlüsselung. Lesen Sie dazu auch das Kapitel 9.8 über asymmetrische Verschlüsselung. Bitte beachten Sie, dass bei Softwarezertifikaten die Authentizität des Signierenden nur dann nachgewiesen werden kann, wenn ein Trust Center das Softwarezertifikat ausgegeben hat und Sie für die Ausstellung Identifikationsunterlagen vorgelegt haben. Beim Laden der Keystore-Datei werden Sie nach der PIN für den Keystore gefragt. Beachten Sie die Reihenfolge:

·     Signaturniveau festlegen: Stellen Sie das Signaturniveau auf „Fortgeschritten“ ein.

·     Schlüssel aus Datei laden: Wählen Sie einen Keystore aus und geben Sie die PIN ein.

·     Schlüssel auswählen: Wenn ein oder mehrere Schlüssel im Keystore gefunden werden, die zum Erstellen einer Signatur geeignet sind, werden diese hier angezeigt. Enthält der Keystore keine Schlüssel, die zum Signieren geeignet sind, wird eine Fehlermeldung angezeigt. Wählen Sie durch Anklicken den Schlüssel aus, den Sie zum Signieren verwenden wollen.

Die folgende Abbildung zeigt den Auswahldialog mit einem Beispiel-Keystore.

Auswahl „Schlüssel aus Datei laden“

Abbildung 37: Auswahl „Schlüssel aus Datei laden“

Merkmale für die Schlüsselauswahl aus einer Datei

·     Signaturniveau: Beim Signieren mit einem Schlüssel aus einer Datei ist das Signaturniveau „Fortgeschritten“. Im Dialogabschnitt „Signaturniveau“, siehe Kapitel 6.4.4.1, muss „Fortgeschritten“ ausgewählt sein, da sonst der Button zur Auswahl eines Schlüssels aus einer Datei ausgegraut ist.

·     Beschränkungen: Sie können eine Datei oder einen Stapel von Dateien zum Signieren mit einem Schlüssel aus einer Datei übergeben. Ein Stapel darf nicht mehr als 500 Dateien umfassen. Die PIN für den Schlüssel aus einer Datei muss nur einmal beim Auswählen der Schlüsselspeicherdatei angegeben werden. Danach können mit diesem Schlüssel, ohne weitere PIN-Eingabe, beliebig viele Dateien signiert werden.

·     Dauer der Schlüsselauswahl: Der Schlüssel aus einer Datei bleibt als ausgewählter Schlüssel solange wirksam, bis entweder ein anderer Schlüssel ausgewählt wurde, oder DATA Boreum neu gestartet wurde.

6.4.4.2.2   Signaturkarte

Diese Auswahl wird nur angezeigt, wenn Sie einen Chipkartenleser angeschlossen und eine Signaturkarte eingesteckt haben. Neben dem Symbol steht der Name des Chipkartenlesers, der von Governikus DATA Boreum erkannt wurde. Sie können bis zu 10 Chipkartenleser anschließen. Zu Chipkartenlesern lesen Sie bitte die mitgelieferten Dokumente zu den Systemvoraussetzungen. Mit einer Signaturkarte können Sie in der Regel qualifizierte elektronische Signaturen erstellen. Beachten Sie die Reihenfolge:

·     Signaturniveau festlegen: Mit Signaturkarten sollen üblicherweise qualifizierte elektronische Signaturen erstellt werden. Häufig sind auch noch Schlüssel für fortgeschrittene Signaturen auf der Signaturkarte vorhanden. Bitte beachten Sie daher, dass Sie das Signaturniveau auf „Qualifiziert“ einstellen, wenn Sie qualifizierte elektronische Signaturen erstellen wollen. Nur so werden Ihnen nur die Schlüssel angezeigt, die für qualifizierte elektronische Signaturen geeignet sind.

·     Chipkartenleser verbunden und Signaturkarte eingesteckt: Die Schlüsselauswahl für die Signaturkarte wird nur angezeigt, wenn ein Chipkartenleser verbunden und Signaturkarte eingesteckt ist.

·     Schlüssel auswählen: Es werden die Schlüssel auf der Signaturkarte angezeigt, die zum Erstellen einer qualifizierten elektronischen Signatur geeignet sind. Wählen Sie durch Anklicken den Schlüssel aus, den Sie zum Signieren verwenden wollen.

Die folgende Abbildung zeigt den Auswahldialog mit einem Beispiel.

Auswahl „Schlüssel von Signaturkarte“

Abbildung 38: Auswahl „Schlüssel von Signaturkarte“

Merkmale für die Schlüsselauswahl von einer Signaturkartei

·     Signaturniveau: Das Signaturniveau ist abhängig von der Festlegung des Signaturniveaus im Dialogabschnitt über der Schlüsselauswahl, siehe Kapitel 6.4.4.1.

-      Wenn Sie das Signaturniveau „Fortgeschritten“ ausgewählt haben, werden Ihnen alle Signaturzertifikate für fortgeschrittene und qualifizierte elektronische Signaturen angezeigt, die auf der Signaturkarte gespeichert und gültig sind.

-      Wenn Sie das Signaturniveau „Qualifiziert“ ausgewählt haben, werden Ihnen nur die Signaturzertifikate für qualifizierte elektronische Signaturen angezeigt, die auf der Signaturkarte gespeichert und gültig sind.

·     Beschränkungen: Sie können eine Datei oder einen Stapel von Dateien zum Signieren mit der Signaturkarte übergeben. Ein Stapel darf nicht mehr als 500 Dateien umfassen.

-      Wenn Sie eine Signaturkarte für Einzelsignaturen nutzen, müssen Sie die PIN für jede Datei angeben, die signiert werden soll.

-      Wenn Sie eine Multisignaturkarte nutzen, müssen Sie die PIN nur einmal pro übergebenen Stapel angeben.

·     Dauer der Schlüsselauswahl: Die Signaturkarte bleibt als ausgewählter Schlüssel solange wirksam, bis entweder ein anderer Schlüssel ausgewählt wurde, oder DATA Boreum neu gestartet wurde.

Wichtiger Hinweis

Achtung Symbol

Achtung:

·     Chipkartenleser vom Rechner trennen: Trennen Sie niemals einen Chipkartenleser vom Rechner, solange das Programm ausgeführt wird. Beenden Sie das Programm, bevor Sie einen Chipkartenleser vom Rechner trennen.

·     Entfernen der Signaturkarte: Entfernen Sie niemals während des Signaturvorgangs die Signaturkarte aus dem Chipkarten-leser. Warten Sie damit, bis das Programm den Signaturvorgang beendet hat.

Signieren mit kontaktlosen Signaturkarten

Wenn Sie eine Signaturkarte verwenden, auf die kontaktlos zugegriffen wird, und einen entsprechenden Chipkartenleser verwenden, müssen Sie hier vor der Schlüsselauswahl zunächst die Zugangsnummer eingeben. Die sechsstellige Zugangsnummer ist auf der Signaturkarte aufgedruckt.

Signaturkarte erneut einlesen

Achtung

Achtung: Lesen Sie unbedingt diesen Abschnitt, wenn die Signaturkarte nicht mehr gelesen werden kann!

Wird eine Signaturkarte während des Betriebs von Governikus DATA Boreum von der Signaturanwendungskomponente eines anderen Herstellers verwendet, kann es passieren, dass Governikus DATA Boreum die Signaturkarte nicht mehr lesen kann, weil die andere Signaturanwendungskomponente diese nicht freigibt.

Wenn Sie die Signaturkarte wieder mit Governikus DATA Boreum benutzen wollen, verfahren Sie wie folgt:

·     Beenden Sie unbedingt die Signaturanwendungskomponente des anderen Herstellers.

·     Nehmen Sie die Signaturkarte aus dem Chipkartenleser und stecken Sie sie gleich wieder in den Chipkartenleser zurück, oder

·     Klicken Sie auf den Button "Karten neu einlesen" unten links auf der Dialogseite "Schlüssel wählen".

Die Signaturkarte wird erneut eingelesen und Sie können danach wieder Schlüssel von der Karte auswählen. Der Chipkartenleser, in dem die Signaturkarte steckt, ist von dieser Aktion nicht betroffen und arbeitet weiter wie zuvor.

Hinweis

Hinweis: Wenn Sie in den „Einstellungen“ in der Registerkarte „BNotK“ die Option „Ja, der Fernsignaturdienst soll verwendet werden.“ ausgewählt haben, wird die Möglichkeit mit einer Signaturkarte zu signieren in „Speicherort des Schlüssels“ nicht angezeigt.

6.4.4.2.3   Signieren mit dem Signaturdienst

Wenn der Signaturdienst konfiguriert wurde, kann hier auch die Auswahl „DATA Deneb Signaturdienst“ ausgewählt werden. Die hier benötigten Login-Daten haben Sie üblicherweise zusammen mit den Konfigurationsdaten erhalten, die Sie in der Registerkarte „Governikus“ in den Einstellungen eingegeben haben, siehe dazu auch Kapitel 5.4.

Wenn Sie den „DATA Deneb Signaturdienst“ durch Anklicken ausgewählt haben, wird der Login-Dialog für den Authentisierungsdienst angezeigt, siehe nächste Abbildung.

Login-Dialog für den Authentisierungsdienst

Abbildung 39: Auswahl Signaturdienst und Login-Dialog für den Authentisierungsdienst

Mit den Login-Daten verbindet sich DATA Boreum mit dem Authentisierungsdienst. Danach übergibt der Authentisierungsdienst die Anfrage an den Signaturdienst von DATA Deneb. DATA Deneb gibt die Schlüssel zurück, für die Sie autorisiert sind und DATA Boreum zeigt diese an. Sie können den Schlüssel, den Sie zum Signieren nutzen wollen, durch Anklicken auswählen.

Merkmale für die Schlüsselauswahl von DATA Deneb Signaturdienst

·     Signaturniveau festlegen: Das Signaturniveau ist abhängig von der Auswahl des Signaturniveaus im Dialogabschnitt über der Schlüsselauswahl, siehe Kapitel 6.4.4.1 und vom verfügbaren Schlüsselmaterial. DATA Deneb kann zum Signieren auf Kartenleser mit Multisignaturkarten und auf Softwareschlüssel (Keystores) zugreifen. Im Authentisierungsserver ist hinterlegt, für welche Schlüssel Sie berechtigt sind. Nur diese werden Ihnen zur Auswahl angezeigt. Sie können für einen oder mehrere Schlüssel berechtigt sein.

-      Wenn Sie das Signaturniveau „Fortgeschritten“ ausgewählt haben, werden Ihnen nur Schlüssel aus Keystores zur Auswahl angeboten, für die Sie berechtigt sind.

-      Wenn Sie das Signaturniveau „Qualifiziert“ ausgewählt haben, werden Ihnen nur die Signaturzertifikate für qualifizierte elektronische Signaturen angezeigt, die auf Multisignaturkarten gespeichert, für die Sie berechtigt sind.

·     Beschränkungen: Sie können eine Datei oder einen Stapel von Dateien zum Signieren übergeben. Ein Stapel darf nicht mehr als 500 Dateien umfassen.

·     Dauer der Schlüsselauswahl: DATA Boreum speichert die Login-Daten im temporären Speicher (Cache). Diese Daten sind gültig, so lange DATA Boreum nicht beendet wird. Wenn Sie DATA Boreum beenden und erneut aufrufen, müssen Sie diese Login-Daten erneut eingeben.

6.4.4.2.4   BNotK Fernsignaturdienst

BNotK ist die Abkürzung für Bundesnotarkammer. Damit im Dialogabschnitt „Speicherort des Schlüssels“ der BNotK Fernsignaturdienst angezeigt wird, muss zuvor in den „Einstellungen“ in der Registerkarte „BNotK“ die Option „Ja, der Fernsignaturdienst soll verwendet werden.“ ausgewählt sein, lesen Sie dazu Kapitel 5.5.

Auswahl des BNotK Fernsignaturdienstes

Abbildung 40: Auswahl des BNotK Fernsignaturdienstes

Um den Fernsignaturdienst der BNotK benutzen können, benötigen Sie eine Authentisierungs­karte, die dazugehörige PIN und ein Chipkartenleser. Stecken Sie die Authentisierungskarte der BNotK in den Chipkartenleser und geben Sie die PIN ein. Es wird der Name des Schlüssels angezeigt, den Sie für Fernsignaturen benutzen können.

Merkmale für die Schlüsselauswahl des BNotK Fernsignaturdienstes

·     Signaturniveau: Signaturen mit dem BNotK Fernsignaturdienst sind qualifizierte elektronische Signaturen.

·     Beschränkungen: Sie können eine Datei oder einen Stapel von Dateien zum Signieren dem BNotK Fernsignaturdienst übergeben. Ein Stapel darf nicht mehr als 100 Dateien umfassen.

·     Dauer der Authentisierung: Die Authentisierung durch die Eingabe der PIN erzeugt eine Session die bis zu einer Stunde gültig ist. Es können also mehrere Signaturvorgänge nacheinander durchgeführt werden. Nach Ablauf der Gültigkeit muss der BNotK Fernsignaturdienst erneut als Schlüssel ausgewählt und die PIN eingegeben werden.

Hinweis

Hinweis: Wenn Sie die Benutzung des BNotK Fernsignaturdienstes ausgewählt haben, wird ein möglicherweise zuvor angezeigter Button zur Auswahl eines Chipkartenlesers mit Signaturkarte nicht mehr angezeigt.

6.4.4.2.5   Schlüssel wählen

Wenn Sie einen Speicherort ausgewählt haben (Datei, Chipkartenleser, Signaturdienst, BNotK Fernsignaturdienst), werden im darunterliegenden Dialogabschnitt die verfügbaren Schlüssel über die korrespondierenden Zertifikate angezeigt. In einem Keystore oder auf einer Signaturkarte können mehrere Schlüssel enthalten sein. Wenn dies so ist, müssen Sie genau einen Schlüssel durch Anklicken in der Liste auswählen.

·     Icon Lupe: Der angezeigte oder ausgewählte Schlüssel gehört zu einem Zertifikat, das Sie über das Lupensymbol anzeigen können. Sie können die Zertifikatsanzeige entweder:

-      Mit dem OK-Button Button Speichern beenden oder

-      Mit dem Speichern-Button Button Speichern als Datei abspeichern.

-      Über den Button Button Validieren können Sie direkt eine Online-Prüfung des Zertifikats durchführen. Das Prüfprotokoll wird in einem separaten Fenster angezeigt.

6.4.4.2.6   Abgelaufene Zertifikate

Wenn Sie eine Signaturkarte oder einen Keystore auswählen, die nur Zertifikate enthalten, deren Gültigkeit bereits abgelaufen ist, können Sie keines dieser Zertifikate auswählen. Signaturen können nur mit Zertifikaten erstellt werden, die zum Zeitpunkt der Erstellung der Signatur gültig sind.

Sonderfall: Wenn Sie eine Signaturkarte oder einen Keystore auswählen, die zum Teil gültige und zum Teil ungültige Zertifikate enthalten, können Sie jedes dieser Zertifikate auswählen. Wenn Sie hier allerdings ein ungültiges Zertifikat auswählen, wird dieses beim Signieren zurückgewiesen.

6.4.4.2.7   Standardeinstellung

Wie im Kapitel 6.3 erklärt, können Sie die auf dieser Dialogseite vorgenommen Einstellungen als Standardeinstellungen speichern. Wenn Sie zukünftig beim Signieren über die blauen Navigationspfeile rechts unten navigieren, wird diese Seite nicht mehr angezeigt. Die Standardeinstellung verfällt, wenn der zuvor als Standard gespeicherte Schlüssel nicht zur Verfügung steht.

Achtung

Achtung: Nur qualifizierte elektronische Signaturen sind der eigenhändigen Unterschrift bezüglich der Rechtswirkung weitestgehend gleichgestellt.

Tastaturbefehle auf dieser Seite

·     Alt + z = Das gewählte Zertifikat wird angezeigt.