LocalSigner Konfiguration

Owned by Stephan AMANN (Unlicensed)
Last updated: Jan 26, 2023 by Igor MetzVersion comment
5 min read

AdobeKonfiguration

LocalSigner

Die gesamte Konfiguration von LocalSigner geschieht über das Menü Einstellungen -> Konfiguration Die folgenden Einstellungen können vorgenommen werden:

Sprache

LocalSigner unterstützt aktuell Deutsch, Englisch, Französisch und Italienisch. Je nach Konfiguration wird entweder die Sprache des Betriebsystems verwendet (falls unterstützt) oder die konfigurierte Sprache benutzt.

Profil Pfad

Hier kann der Pfad definiert werden, in welchem LocalSigner sogenannte Signatur Profile speichert und zur Benutzung anzeigt.

Dokument Pfad

Hier kann der Pfad definiert werden, der beim Laden eines Dokuments im Dateibrowser vorgewählt wird.

Schriftgrösse

Die Schriftgrösse der Benutzeroberfläche kann in LocalSigner angepasst werden. Dies ist nötig, weil die Schriftgrössen nicht auf allen Plattformen gleich aussehen.

Betrachter

Zur Anzeige der zu signierenden resp. der signierten PDF Dokumente kann wahlweise der integrierte Betrachter oder der auf dem System installierte Adobe Reader verwendet werden. Standardmässig ist der integrierte Betrachter eingestellt. Ab Version 2.5 kann als dritte Variante "Signieren integrierter Betrachter, Anzeigen (nach Signatur) Adobe Reader" gewählt werden. Der integrierte Betrachter dient primär der Positionierung der Unterschrift und nicht der Inhaltskontrolle. 

Der Adobe Reader Modus funktioniert nur, falls der Adobe Reader und das dazugehörige Internet-Plugin korrekt installiert ist. Adobe Reader 9 oder grösser wird empfohlen.

Startdokument

Beim Start der Applikation kann entweder das kurze Startdokument oder die längere Einführung zur Signatur angezeigt werden.

Startbildschirm

Der Startbildschirm prüft bei jedem Start, ob Ihre Installation von LocalSigner modifiziert wurde (z.B. durch sog. Malware). Dieser Check wird übersprungen, wenn Sie diese Checkbox deselektieren.

Proxyserver

Damit LocalSigner Zeitstempeldienste verwenden kann, muss eine Verbindung mit dem Internet verfügbar sein. LocalSigner versucht standardmässig die Internetverbindungs-Einstellungen des Betriebsystems (InternetExplorer auf Windows) zu benutzen. Falls trotzdem keine Verbindung zu einem Zeitstempeldienst aufgebaut werden kann, ist eine manuelle Proxykonfiguration in der Konfiguration möglich. Bei privaten Internetanschlüssen ist eine Proxykonfiguration meist nicht notwendig. In Unternehmensnetzwerken muss der zu verwendende Proxy konfiguriert werden, wenn zur Konfiguration des InternetExplorers sog. .pac Dateien verwendet werden. Ist bei den Verbindungseinstellungen des InternetExplorers ein http Proxy gesetzt, so übernimmt LocalSigner diese Einstellung. 

Zertifikatszugriff

Der Zugriff auf Zertifikate erfolgt unter Windows entweder über den Windows Zertifikatspeicher oder über die standardisierte PKCS#11 Schnittstelle, bei allen anderen Betriebssystemen ausschliesslich über die PKCS#11 Schnittstelle. Bei allen Installationspaketen ist ab Version 2.5 der Zugriff über die PKCS#11 Schnittstelle voreingestellt.

Bei Verwendung der PKCS#11 Schnittstelle wird ab Version 2.5 für den Signaturvorgang der Hash-Alglorithmus SHA256 (sicherer) verwendet. Bei Verwendung des Zugriffs via Windows-Zertifikatsspeicher wird nur SHA1 unterstützt (unsicherer).

Wenn sie unter Windows entweder mit sog. Softwarezertifikaten arbeiten wollen oder wenn unter Windows via PKCS#11 Schnittstelle ihr Zertifikat auf SmartCard nicht angesprochen werden kann, können Sie auf den Zugriffsmodus via Windows Zertifikatsspeicher umstellen.

Für in der Schweiz gängige Zertifikate (SmartCards), welche standardmässig installiert wurden, sind die Pfade zu den PKCS#11 Bibliotheken ab Version 2.5 vorkonfiguriert und LocalSigner setzt die richtige Bibliothek automatisch ein. Für ausländische Zertifikate (SmartCards) muss der Name der PKCS#11 angegeben werden (bei Lieferanten der SmartCard in Erfahrung zu bringen).

Für ältere Versionen von LocalSigner müssen die Pfade zu den PKCS#11 Bibliotheken manuell gesetzt werden:

  • Zertifikate, welche auf Siemens Chips basieren: Post/SwissSign (ausser SuisseID!), Bund, Swisscom
Windows: C:\WINDOWS\System32\siecap11.dll
Linux: /usr/local/lib/libsiecap11.so
Mac: /usr/local/lib/libsiecap11.dylib
  • Zertifikate, welche auf Alladin eToken Chips basieren: Quovadis (ausser SuisseID!)
Windows: C:\WINDOWS\System32\eTPKCS11.dll
Linux: /usr/local/lib/libetpkcs11.so
Mac: /usr/local/lib/libeTPkcs11.dylib
  • SuisseID der Post/SwissSign
Windows: C:\WINDOWS\system32\cvP11.dll
Linux: /usr/local/lib/libcvP11.so
Mac: /usr/local/lib/libcvP11.dylib
  • SuisseID von QuoVadis

Die PKCS#11 DLL steht nach der Installation der von QuoVadis bereitgestellten Sign! Software zur Verfügung.

Windows 32bit: C:\Program Files\Sign 5.1\bin\pkcs11.dll
Windows 64bit: C:\Program Files\Sign 5.1\32bit\\bin\pkcs11.dll
Mac: /Applications/Sign.app/Contents/MacOS/libpkcs11l.dylib

Multiuser Konfiguration

Die Applikation ist für mehrere Benutzer ausgelegt. LocalSigner kann also auf einem Zentralen (shared) Verzeichnis installiert werden. Jeder Benutzer hat seine eigene Konfiguration. Diese werden in seinem Home-Verzeichnis (default: .localsigner) gespeichert.

Im Normalfall können alle Konfigurationswerte durch den Benutzer überschrieben werden. Die zentralen Systemeinstellungen werden nur verwendet, falls der Benutzer keine eigene Einstellung hat.

Die Konfigurationsrechte der Benutzer können aber in der Systemeinstellung sehr detailliert geregelt werden. Die Applikation kann so konfiguriert werden, dass der Benutzer einzelne Einstellungen ändern kann, andere jedoch von den Systemeinstellungen gelesen werden.

Systemweite Konfigurationsdatei

<LocalSigner Installation>/configuration/init.properties

Diese Datei enthält die globale Konfiguration. Sie sollte nur von einem Administrator (z.B. root) editierbar sein. Stellen Sie sicher, dass normale Benutzer diese Datei nicht ändern können.

Der Wert profilepath spezifiziert, wo die globalen Signaturprofile gespeichert sind.

Die Werte xyEditable spezifizieren, ob diese Funktion per Benutzer konfigurierbar ist oder nicht (true: jeder Benutzer kann diese Werte über die Einstellungen in der Applikation ändern, false: globale Konfiguration wird verwendet).

Der Wert systemProfilesOnly spezifiziert, ob der Benutzer eigene Profile benutzen kann (true: nur Systemprofile verfügbar, false: Benutzerprofile zusätzlich zu Systemprofile)

Der Wert userFolder spezifiziert das Verzeichnis, wo die Benutzerdaten geschrieben werden. In diesem Pfad wird $username durch den aktuellen Benutzernamen ersetzt.

Der Wert updateCheckUrl spezifiziert die Adresse, wo nach Updates gesucht wird. Entfernen Sie diesen Wert, um den Update und Verbindungscheck zu deaktivieren.

Systemweite Signaturprofile

<LocalSigner Installation>/resources/profiles

Dieses Verzeichnis enthält die globalen Signaturprofile, welche für alle Benutzer verfügbar sind.
Einige Standardprofile werden mit der Applikation mitgeliefert. Weitere Profile können hier abgelegt werden. Neue Profile können durch Kopie eines bestehenden Profils erstellt werden.

Benutzer Dateien

folgende Dateien existieren für jeden Benutzer:

<user home>/.localsigner
<user home>/.localsigner/userconfiguration.properties
<user home>/.localsigner/profiles

Diese Dateien werden beim Applikationsstart im Benutzerverzeichnis erstellt, falls sie noch nicht existieren.
Die Datei userconfiguration.properties enthält die Einstellungen, welche der Benutzer in der Applikation gemacht hat. Es ist nicht empfohlen, diese Datei manuell zu bearbeiten.
Falls die Datei noch nicht existiert, wird sie erstellt. Dabei werden als Startwert die Werte der Systemkonfiguration kopiert.

Beispielprofile

Die aktuelle LocalSigner Version wird mit verschiedenen Beispielprofilen und Beispiel PDF Dokumenten ausgeliefert, um die Funktionalität von LocalSigner zu demonstrieren. Die Profile werden von LocalSigner automatisch geladen und zur Auswahl angeboten, die Beispiel PDF Dateien befinden sich unter:

<Installationsordner>/resources/examples

Adobe Reader

Um Unterschriften auf Dokumenten validieren zu können, ohne weitere Infrastruktur von Open eGov zu verwenden, kann der Adobe Reader eingesetzt werden.

Der LocalSigner zeigt vor der Signatur das PDF-Dokument in einem eingebetteten Adobe-Fenster (analog AdobeBrowser Plugin) an.

Nach dem Signieren wird das signierte Dokument - falls gewümscht - im gleichen Fenster angezeigt. Erfolgt dies, wird die Signatur mit den Adobe Reader Validierungsfunktionen validiert. Dabei wird, je nach Konfiguration von Adobe Reader, entweder auf den separaten Adobe Store von vertrauenswürdigen Zertifizierungsstellen (Root-Zertifikaten) oder auf den Windows Zertifikatspeicher mit den dort installierten vertrauenswürdigen Stammzertifizierungsstellen (Root-Zertifikaten) zugegriffen.
Da die Root Zertifikate der gängigen Schweizer Zertifikate lediglich im Windows Zertifikatspeicher abgelegt sind, ist es nötig, Adobe Reader so zu konfigurieren, dass diese verwendet werden.

Hinweise Mac OS X

In der Mac Version ist alles in die Applikation gepackt. Sie können die Systemkonfiguration, Systemprofile und Beispieldokumente anschauen, indem Sie mit Rechtsklick auf LocalSigner -> Paketinhalt anzeigen -> Content -> MacOS die Dateien sichtbar machen.