Installationsprobleme mit Thunderbird

dmu · 8. Oktober 2015

Hallo,

Ich verwende Thunderbird 38.3.0 unter W7U und würde gerne Emails signieren.
Habe mir von handy-signatur.at mein Zertifikat heruntergeladen, das sich in Windows auch problemlos installieren lies, wird im certmgr angezeigt.
Im Thunderbird habe ich A-Trust ASignP11 installiert, aber dann scheitere ich daran mein Zertifikat unter Extras > Einstellungen > Erweitert > Zertifikate > Zertifikate zu importieren. Wenn ich das heruntergeladene cert auswähle passiert nichts.

Als ich mit der Handy-Signatur gescheitert bin habe ich mir einen Kartenleser REINER SCT cyberjack besorgt und wollte meine ecard G3 selbst aktivieren. Die Bürgerkartensoftware läuft und erkennt den Kartenleser, aber wenn ich meine ecard einlege und auf "Karte aktualisieren" clicke geschieht nichts. Wenn ich dann die Kartenverwaltung öffne und etwa links unten auf "Zertifikat anzeigen" clicke kommt: "Dieser Befehl ist mit einer leeren Karte nicht erlaubt".

...ich will doch nur meine Mails signieren, das kann doch nciht so schwer sein...
Ersuche um Hilfe! Danke!!!

dkonrad · 8. Oktober 2015

E-Mails können mit der Handy-Signatur nicht signiert werden, der A-Trust PKCS#11-Treiber (asignp11) funktioniert nur mit Signaturkarten. Ihre ecard müssen Sie über das Portal der A-Trust (https://www.a-trust.at/aktivierung/Selbst/ecard/) mit Ihrer Handy-Signatur (Button "Mobiltelefon") aktivieren.

dmu · 10. Oktober 2015

Da es mir selbnst nicht gelungen ist habe ich mir die ecard als Bürgerkarte auf der Gebietskrankenkasse aktivieren lassen.

Wenn ich die Karte in den Kartenleser REINER SCT cyberjack einlege kommt immer noch: "Dieser Befehl ist mit einer leeren Karte nicht erlaubt".

Laut Windows 7 Ultimte ist der Kartenleser korrekt installiert, Der a-sign Client und die Büerkartensoftware laufen mit Adminrechten.

Wo liegt mein Fehler?!

dkonrad · 13. Oktober 2015

Funktioniert die Karte mit der Online-BKU? (Test über Funktion "Bürgerkarte testen" links unten auf https://www.buergerkarte.at/; für die Online-BKU ist eine aktuelle Java-Installation erforderlich - da das Java-Plugin von Google Chrome nicht mehr unterstützt wird, bitte einen anderen Browser verwenden)

dmu · 13. Oktober 2015

Hallo & Danke für die Hilfe.

Da kommt: "Es konnte keine PC/SC Schnittstelle gefunden werden"

Java ist am neuesten Stand, läuft in Chrome nicht, getestet hab ich unter Firefox 41.0.1

dkonrad · 13. Oktober 2015

Ist der Kartenleser korrekt installiert? - Die Treiber gibt es unter http://www.reiner-sct.com/supp…ck/chip-windows.html?grp=.

dmu · 13. Oktober 2015

Ja, bei Start der SCT Software kommt allerdings jedesmal: "Der USB Treiber ist nicht korrekt installiert. Soll nun versucht werden den Fehler zu beheben?"

Wenn ich das tue steht Betriebsbereit, aber der cyberjack gerätemanager zeigt an, dass keine Leser verfügbar wären.
Der Leser wird aber angezeigt:

[Blockierte Grafik: http://img5.fotos-hochladen.net/uploads/201510131334ukohd64smn.jpg]

Auch die A-Trust Software ziegt den Leser an:

[Blockierte Grafik: http://img5.fotos-hochladen.net/uploads/201510131337tf4znkqx8e.jpg]

dmu · 14. Oktober 2015

So, habe mir heute auf einem anderen Rechner einen SCR243 installiert.
Nun wird die Karte erkannt, die Zertifikate importiert.
Habe auf Thunderbird gem Anleitung alles eingestellt, mein Zert wird angezeigt, aber wenn ich eine signierte Mail versenden möchte kommt: "Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte Überprüfen Sie, ob die Zertifikate, die für dieses Konto inden Konto-Einstellungen angeben sind, für E-Mail gültig und vertrauenswürdig sind."

In den Kontoeinstellungen steht: "a.sign premium e:C.CH.EKEY" Und bei den Details (natürlich nicht mit XXX):

"Ausgestellt auf: serialNumber=XXX,givenName=XXX,SN=Mühlböck,CN=XXX,C=AT
Seriennummer: XXX
Gültig von 09.10.2015 11:21:04 bis 30.09.2019 09:21:04
Verwendung eines Zertifikatsschlüssels: unterzeichne,Schlüssel-Verschlüsselung,Daten-Verschlüsselung
Ausgestellt von: CN=a-sign-Token-03,OU=a-sign-Token-03,O=A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT
Gespeichert in: a.sign premium e"

Woran liegts nun? Danke!

dkonrad · 15. Oktober 2015

Das liegt wahrscheinlich daran, dass das A-Trust Stammzertifikat und Zwishenzertifikat (Download von https://www.a-trust.at/Support/Stammzertifikate.aspx) nicht als vertrauenswürdiges Zertifikate in Thunderbird installiert sind, siehe auch E-Mail-Signatur mit E-Card und Thunderbird?

dmu · 16. Oktober 2015

Danke für Ihre Hilfe, alle Zertifikate sind installiert, aber es funktioniert immer noch nicht. Was nun?

dkonrad · 16. Oktober 2015

Ist das Zertifikat wirklich korrekt im Thunderbird-Zertifikatsspeicher installiert und für E-Mail-Verwendung freigegeben?
Zur Kontrolle im Thunderbird-Zertifikat-Manager:
Im Thunderbird auf Extras->Einstellungen->Erweitert->Zertifikate, dort auf den Button Zertifikate klicken, dann öffnet sich der Zertifikat-Manager.
Unter "Zertifizierungsstellen" muss bei "A-Trust Ges. ..." das Zertifikat a-sign_Token-03 installiert sein. Wenn man auf "Vertrauen bearbeiten" klickt muss "Dieses Zertifikat kann Mail-Benutzer identifizieren" angehakt sein:
[Blockierte Grafik: https://www.buergerkarte.at/images/forum/thunderbird_email_a-sign-token.png]

Bei Ihrem eigenes Zertifikat (unter "Ihre Zertifikate", bei "A-Trust Ges. ...") auf "Ansehen" klicken, dann sollten die beiden E-Mail Verwendungen aufscheinen:
[Blockierte Grafik: https://www.buergerkarte.at/images/forum/thunderbird_email.png]

dkonrad · 16. Oktober 2015

Noch etwas ist mir jetzt eingefallen: Ist in Ihrem Zertifikat überhaupt eine E-Mail Adresse eingetragen? - Dies ist natürlich auch eine notwendige Voraussetzung um damit E-Mails signieren zu können.

dmu · 22. Oktober 2015

Habe eine neue ecard bestellt und heute erhalten.
Habe erfolgreich diese aktiviert via https://www.a-trust.at/aktivierung/Selbst/ecard/ - keine Fehlermeldung, alles ok.

Ich wurde allerdings zu keinem Zeitpunkt aufgefordert meine email-Adresse einzutragen um die Signatur verwenden zu können?!

Wo geht das, und brauche ich jetzt schon wieder eine neue ecard?

dkonrad · 22. Oktober 2015

Im Aktivierungsprozess sollte es ein Formularfeld mit einer E-Mail Adresse geben, die dort eingetragene Adresse wird dann in das Geheimhaltungszertifikat eingetragen (für E-Mail Signaturen wird das Geheimhaltungszertifikat, verwendet, das Signaturzertifikat ist für qualifizierte, rechtsverbindliche Signaturen nach dem Signaturgesetz vorgesehen).
Sie können im Windows Zertifikats-Viewer nachprüfen, ob die E-Mail Adresse eingetragen ist: Das Geheimhaltungszertifikat öffnen (z.B. im A-Trust Client unter Kartenverwaltung beim Geheimhaltungszertifikat auf "Zertifikat anzeigen" klicken, dann auf den Reiter "Details" und hier sollte es ein Feld "Alternativer Antragstellername" geben mit dem Wert "RFC822-Name=Ihre E-Mail Adresse".

dmu · 22. Oktober 2015

ok dann bestelle ich wieder eine neue ecard.

token 03 scheint trotz installation nicht auf.

dkonrad · 22. Oktober 2015

Wenn das a-sign-Token-03 Zertifikat nicht aufscheint, liegt es nicht an Ihrer ecard. Sie müssen die A-Trust Zertifikate (A-Trust-nQual-03 und a-sign-Token-03) im Thunderbird-Zertifikatsmanager importieren, dieser ist unabhängig vom Windows-Zertifikatsmanager, d.h. eine Installation der A-Trust Zertifikate unter Windows installiert diese nicht auch gleichzeitig in Thunderbird

dmu · 22. Oktober 2015

das weiß ich.
hilfreich und sinnvoll wäre es, wenn sie schreiben würden wie token 03 installiert werden kann.

dkonrad · 22. Oktober 2015

Wenn das a-sign-Token-03 Zertifikat in Thunderbird nicht installiert ist, können Sie so vorgehen:

Zeigen Sie ihr Geheimhaltungszertifikat mit dem Windows Zertifikatsviewer an (z.B. über den A-Trust Client)
Reiter "Zertifizierungspfad" auswählen
Im Pfad das a-sign-Token-03 Zertifikat anwählen
Button "Zertifikat anzeigen" klicken
Nun wird das a-sign-Token-03 Zertifikat angezeigt, den Reiter "Details" auswählen
Button "In Datei kopieren" anklicken
Mit dem Export-Assistenten das a-sign-Token-03 Zertifikat in einer Datei abspeichern
Im Thunderbird-Zertifikatsmanager den Reiter "Zertifierungsstellen" auswählen
den Button "Importieren" klicken und die vorhin gespeicherte Datei angeben
Beim Importvorgang bei "Dieser CA vertrauen, um E-Mail Nutzer zu identifizieren" einen Haken setzen