1Deutsch
2=======
3
4Windows
5-------
6
7Der Installer der AusweisApp2 kann über die Kommandozeile gestartet werden, um
8den Installationsprozess zu konfigurieren und systemweite Standardeinstellungen
9vorzugeben.
10Der Rückgabewert von msiexec informiert über das Ergebnis der Installation [#msiexecreturnvalues]_.
11Neben den üblichen Parametern [#standardarguments]_ enthält das folgende Kommando
12alle unterstützten Parameter, die im Anschluss erläutert werden.
13
14.. code-block:: winbatch
15
16  msiexec /i AusweisApp2-X.YY.Z.msi /quiet INSTALLDIR="C:\AusweisApp2" SYSTEMSETTINGS=false DESKTOPSHORTCUT=false AUTOSTART=false AUTOHIDE=false REMINDTOCLOSE=false ASSISTANT=false TRANSPORTPINREMINDER=false CUSTOMPROXYTYPE="HTTP" CUSTOMPROXYHOST="proxy.example.org" CUSTOMPROXYPORT=1337 UPDATECHECK=false ONSCREENKEYBOARD=true SHUFFLESCREENKEYBOARD=true HISTORY=false ENABLECANALLOWED=true SKIPRIGHTSONCANALLOWED=true LAUNCH=true
17
18INSTALLDIR
19  Gibt das Installationsverzeichnis an. Ohne Angabe wird der Ordner
20  "C:\\Programme (x86)\\AusweisApp2" genutzt.
21
22SYSTEMSETTINGS
23  Betrifft die Erstellung von Firewall-Regeln der Windows Firewall. Ohne Angabe
24  des Parameters werden die Firewall-Regeln erstellt (true). Durch Angabe von
25  SYSTEMSETTINGS=false werden keine Firewall-Regeln erstellt.
26
27DESKTOPSHORTCUT
28  Durch Angabe von DESKTOPSHORTCUT=false kann die Erstellung einer
29  Desktop-Verknüpfung vermieden werden. Ohne Angabe des Parameters wird eine
30  Desktop-Verknüpfung für alle Benutzer erstellt (true).
31
32AUTOSTART
33  Durch Angabe von AUTOSTART=true wird ein Autostart-Eintrag für alle Benutzer
34  erstellt. Die Deaktivierung des Autostarts ist den Benutzern in der AusweisApp2
35  dadurch nicht möglich. Ohne Angabe wird der Autostart-Eintrag nicht erstellt
36  (false). In diesem Fall ist es jedoch jedem Benutzer möglich, die Autostart-
37  Funktion innerhalb der AusweisApp2 für sich zu aktivieren.
38
39AUTOHIDE
40  Betrifft die automatische Minimierung nach Abschluss einer erfolgreichen
41  Authentisierung. Ohne Angabe ist diese aktiviert (true). Durch AUTOHIDE=false
42  wird diese deaktiviert. Der Benutzer kann diese Einstellung anpassen.
43
44REMINDTOCLOSE
45  Wenn der Benutzer die AusweisApp2 per Klick auf das X schließt, wird er darauf
46  hingewiesen, dass nur die Benutzeroberfläche geschlossen wird und die
47  AusweisApp2 weiterhin im Infobereich zur Verfügung steht. Zu diesem Zeitpunkt
48  ist es möglich, den Hinweis zukünftig zu unterdrücken. Durch REMINDTOCLOSE=false
49  kann dieser Hinweis von vornherein deaktiviert werden. Ohne Angabe ist er
50  aktiviert (true).
51
52ASSISTANT
53  Startet der Benutzer die AusweisApp2 zum ersten Mal, wird die Benutzeroberfläche
54  geöffnet und ein Einrichtungsassistent angezeigt. Bei jedem weiteren Start wird
55  die AusweisApp2 im Hintergrund gestartet und der Einrichtungsassistent erscheint
56  nicht. Durch ASSISTANT=false wird die AusweisApp2 auch beim ersten Start im
57  Hintergrund ohne Einrichtungsassistenten gestartet. Ohne Angabe ist der
58  Einrichtungsassistent aktiviert (true).
59
60TRANSPORTPINREMINDER
61  Zu Beginn einer Selbstauskunft oder Authentisierung wird der Benutzer einmalig
62  danach gefragt, ob er die Transport-PIN schon geändert hat. Durch
63  TRANSPORTPINREMINDER=false kann diese Abfrage deaktiviert werden. Ohne Angabe
64  ist die Abfrage aktiviert (true).
65
66CUSTOMPROXYTYPE
67  Teil der Konfiguration eines Proxys. Gültige Typen sind SOCKS5 und HTTP.
68  Um einen Proxy zu nutzen müssen alle Parameter gesetzt sein (siehe
69  CUSTOMPROXYHOST und CUSTOMPROXYPORT). Der Proxy kann nach der Installation
70  über eine Checkbox in den Einstellungen deaktiviert werden.
71
72CUSTOMPROXYHOST
73  Teil der Konfiguration eines Proxys. Angabe des Hosts, unter dem der Proxy zu
74  erreichen ist. Um einen Proxy zu nutzen müssen alle Parameter gesetzt sein
75  (siehe CUSTOMPROXYTYPE und CUSTOMPROXYPORT). Der Proxy kann nach der
76  Installation über eine Checkbox in den Einstellungen deaktiviert werden.
77
78CUSTOMPROXYPORT
79  Teil der Konfiguration eines Proxys. Angabe des Proxyports. Nur Werte von
80  1 bis 65536 sind gültig. Um einen Proxy zu nutzen müssen alle Parameter
81  gesetzt sein (siehe CUSTOMPROXYTYPE und CUSTOMPROXYHOST). Der Proxy kann nach
82  der Installation über eine Checkbox in den Einstellungen deaktiviert werden.
83
84UPDATECHECK
85  Wird die Benutzeroberfläche der AusweisApp2 geöffnet, wird eine Überprüfung auf
86  eine neue Version der AusweisApp2 gestartet, falls seit der letzten Überprüfung
87  mindestens 24 Stunden vergangen sind. Liegt eine neue Version vor, wird der
88  Benutzer darüber in einem Dialog informiert. Durch Setzen von UPDATECHECK auf
89  false oder true kann diese Überprüfung deaktiviert bzw. aktiviert werden.
90  Die Einstellung kann dann durch den Benutzer in der AusweisApp2 nicht geändert
91  werden. Ohne Angabe ist die Überprüfung aktiviert, der Benutzer kann die
92  Einstellung jedoch ändern. Der UPDATECHECK Parameter beeinflusst weder die
93  Aktualisierung der Anbieterliste noch die Aktualisierung der
94  Kartenleserinformationen.
95
96ONSCREENKEYBOARD
97  Für die Eingabe von PIN, CAN und PUK kann eine Bildschirmtastatur verwendet
98  werden. Durch Setzen von ONSCREENKEYBOARD auf false oder true kann diese
99  deaktiviert bzw. aktiviert werden. Der Benutzer kann diese Einstellung anpassen.
100
101SHUFFLESCREENKEYBOARD
102  Ist die Bildschirmtastatur aktiviert, können die Zifferntasten zufällig angeordnet werden.
103  Durch Setzen von SHUFFLESCREENKEYBOARD auf false oder true kann die zufällige Anordnung
104  deaktiviert bzw. aktiviert werden. Der Benutzer kann diese Einstellung anpassen.
105
106HISTORY
107  Jede Selbstauskunft oder Authentisierung wird im Verlauf gespeichert. Dabei
108  werden jedoch keine persönlichen Daten gespeichert, sondern nur der Zeitpunkt,
109  der Anbieter und die ausgelesenen Datenfelder (ohne Inhalt). Durch Setzen
110  von HISTORY auf false oder true kann der Verlauf deaktiviert bzw. aktiviert
111  werden. Der Benutzer kann diese Einstellung anpassen.
112
113ENABLECANALLOWED
114  Aktiviert die Unterstützung für den CAN-Allowed-Modus (Vor-Ort-Auslesen). Wenn ein entsprechendes
115  Berechtigungszertifikat vorliegt, muss zum Auslesen die CAN anstelle der PIN eingegeben werden.
116
117SKIPRIGHTSONCANALLOWED
118  Überspringt die Anzeige des Berechtigungszertifikat im CAN-Allowed-Modus und wechselt direkt zur
119  CAN-Eingabe.
120
121LAUNCH
122  Startet die AusweisApp2 nach dem Ende der Installation.
123
124Alternativ kann mit Orca [#orca]_ eine MST-Datei erzeugt werden, die die oben
125genannten Parameter definiert. Die Parameter sind in den Tabellen "Directory"
126und "Property" verfügbar. Übergeben lässt sich die MST-Datei mit dem folgenden
127Kommando:
128
129.. code-block:: winbatch
130
131  msiexec /i AusweisApp2-X.YY.Z.msi /quiet TRANSFORMS=file.mst
132
133Um den Start der AusweisApp2 auf Systemen mit fehlender Grafikbeschleunigung
134zu optimieren, kann die Systemvariable "QT_QUICK_BACKEND" auf den Wert
135"software" gesetzt werden. In diesem Fall verzichtet die AusweisApp2 auf den
136Versuch die Grafikbeschleunigung zu nutzen und startet direkt mit dem
137alternativen Softwarerenderer.
138
139macOS
140-----
141
142Unter macOS ist keine Installation per Kommandozeile vorgesehen. Jedoch können
143einige der oben genannten Einstellung durch eine plist-Datei im Verzeichnis
144/Library/Preferences systemweit vorgegeben werden. Diese plist-Datei muss dabei
145manuell durch den Administrator des Systems hinterlegt werden und wird von allen
146(zukünftigen) Installationen der AusweisApp2 verwendet. Alle nicht genannten
147Einstellungen werden auf macOS nicht unterstützt. Der Name der Datei muss
148"com.governikus.AusweisApp2.plist" lauten. Der Inhalt wird im folgenden
149dargestellt:
150
151.. code-block:: xml
152
153  <?xml version="1.0" encoding="UTF-8"?>
154  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
155  <plist version="1.0">
156  <dict>
157    <key>autoCloseWindow</key>
158    <false/>
159    <key>remindToClose</key>
160    <false/>
161    <key>showSetupAssistant</key>
162    <false/>
163    <key>transportPinReminder</key>
164    <false/>
165    <key>customProxyType</key>
166    <string>HTTP</string>
167    <key>customProxyHost</key>
168    <string>proxy.example.org</string>
169    <key>customProxyPort</key>
170    <integer>1337</integer>
171    <key>autoUpdateCheck</key>
172    <false/>
173    <key>keylessPassword</key>
174    <true/>
175    <key>shuffleScreenKeyboard</key>
176    <true/>
177    <key>history.enable</key>
178    <false/>
179    <key>enableCanAllowed</key>
180    <true/>
181    <key>skipRightsOnCanAllowed</key>
182    <true/>
183  </dict>
184  </plist>
185
186Für die einzelnen Werte gelten die gleichen Beschreibungen wie für die
187Windows-Version wobei die Bennennung der Attribute der folgenden Tabelle zu
188entnehmen ist.
189
190======================= =======================
191macOS                   Windows
192======================= =======================
193autoCloseWindow         AUTOHIDE
194remindToClose           REMINDTOCLOSE
195showSetupAssistant      ASSISTANT
196transportPinReminder    TRANSPORTPINREMINDER
197customProxyType         CUSTOMPROXYTYPE
198customProxyPort         CUSTOMPROXYPORT
199customProxyHost         CUSTOMPROXYHOST
200autoUpdateCheck         UPDATECHECK
201keylessPassword         ONSCREENKEYBOARD
202shuffleScreenKeyboard   SHUFFLESCREENKEYBOARD
203history.enable          HISTORY
204enableCanAllowed        ENABLECANALLOWED
205skipRightsOnCanAllowed  SKIPRIGHTSONCANALLOWED
206======================= =======================
207
208Nach Änderung der Datei kann es notwending sein, ein erneutes Laden der vom
209Betriebssystem gecachten Daten zu erzwingen: :code:`killall -u $USER cfprefsd`
210
211.. [#msiexecreturnvalues] https://docs.microsoft.com/de-de/windows/desktop/msi/error-codes
212.. [#standardarguments] https://docs.microsoft.com/de-de/windows/desktop/msi/standard-installer-command-line-options
213.. [#orca] https://docs.microsoft.com/de-de/windows/desktop/Msi/orca-exe
214
215
216
217Anforderungen an die Einsatzumgebung
218------------------------------------
219
220Rechte für Installation und Ausführung
221''''''''''''''''''''''''''''''''''''''
222
223Für die Installation der AusweisApp2 sind Administratorrechte erforderlich.
224
225Die Ausführung der AusweisApp2 erfordert keine Administratorrechte.
226
227
228Verwendete Netzwerk-Ports
229'''''''''''''''''''''''''
230
231In :numref:`porttable_de` werden alle von der AusweisApp2 genutzten Ports
232aufgelistet.
233Eine schematische Darstellung der einzelnen Verbindungen, die von der
234AusweisApp2 genutzt werden, ist in :numref:`communicationmodel_de` dargestellt.
235
236Die AusweisApp2 startet einen HTTP-Server, der über Port 24727 erreichbar
237ist.
238Der Server empfängt nur auf der localhost Netzwerkschnittstelle.
239Die Erreichbarkeit dieses lokalen Servers ist für die Onlineausweisfunktion
240notwendig, da Anbieter mit einem HTTP-Redirect auf den lokalen Server
241umleiten um den Ausweisvorgang in der AusweisApp2 fortzuführen (eID1).
242Außerdem wird über den Server die Verwendung der AusweisApp2 von anderen
243Anwendungen über eine Websocket-Schnittstelle angeboten (SDK-Funktion, eID-SDK).
244Daher müssen eingehende lokale Netzwerkverbindungen auf dem TCP Port 24727
245ermöglicht werden.
246
247Für die Verwendung von der "Smartphone als Kartenleser"-Funktion über WLAN
248müssen außerdem Broadcasts auf UDP Port 24727 im lokalen Subnetz empfangen
249werden können.
250Hierzu muss eventuell die AP Isolation im Router deaktiviert werden.
251
252.. _communicationmodel_de:
253.. figure:: CommunicationModel_de.pdf
254
255    Kommunikationsmodell der AusweisApp2
256
257Der Installer der AusweisApp2 bietet die Option, für alle angebotenen
258Funktionen der AusweisApp2 die erforderlichen Firewall-Regeln in der
259Windows-Firewall zu registrieren.
260Erfolgt die Registrierung der Firewall-Regeln nicht, wird der Benutzer bei
261einem Verbindungsaufbau der AusweisApp2 mit einem Dialog der Windows-Firewall
262aufgefordert, die ausgehenden Datenverbindungen zuzulassen.
263Durch Registrierung der Firewall-Regeln während der Installation werden diese
264Aufforderungen unterbunden.
265
266Für die lokalen Verbindungen eID1 und eID-SDK müssen (unter den gängigen
267Standardeinstellungen der Windows-Firewall) keine Regeln in der
268Windows-Firewall eingetragen werden.
269
270Die durch den Installer angelegten Regeln werden in Tabelle :numref:`firewalltable_de`
271aufgelistet.
272
273
274TLS-Verbindungen
275''''''''''''''''
276
277Es ist generell nicht möglich, die AusweisApp2 mit einem TLS-Termination-Proxy
278zu verwenden, da die übertragenen TLS-Zertifikate über eine Verschränkung mit
279dem Berechtigungszertifikat aus der Personalausweis-PKI validiert werden.
280CA-Zertifikate im Windows-Truststore werden daher ignoriert.
281
282.. raw:: latex
283
284    \begin{landscape}
285
286.. _porttable_de:
287.. csv-table:: Netzwerkverbindungen der AusweisApp2
288   :header: "Referenz", "Protokoll", "Port", "Richtung", "Optional", "Zweck", "Anmerkungen"
289   :widths: 8, 8, 8, 8, 8, 35, 25
290
291   "eID1",	TCP, 24727,  "eingehend", "Nein", "Online-Ausweisvorgang, eID-Aktivierung [#TR-03124]_",										    "Nur erreichbar von localhost [#TR-03124]_"
292   "eID2",	TCP, 443,    "ausgehend", "Nein", "Online-Ausweisvorgang, Verbindung zum Anbieter, TLS-1-2-Kanal [#TR-03124]_",							    "TLS-Zertifikate verschränkt mit Berechtigungs-Zertifikat [#TR-03124]_"
293   "eID3",      TCP, 443,    "ausgehend", "Nein", "Online-Ausweisvorgang, Verbindung zum eID-Server, TLS-2-Kanal [#TR-03124]_",								    "TLS-Zertifikate verschränkt mit Berechtigungs-Zertifikat [#TR-03124]_"
294   "eID-SDK",	TCP, 24727,  "eingehend", "Nein", "Verwendung der SDK-Schnittstelle",													    "Nur erreichbar von localhost [#TR-03124]_"
295   "SaK1",	UDP, 24727,  "eingehend", "Ja",   "Smartphone als Kartenleser, Erkennung [#TR-03112]_",											    "Broadcasts"
296   "SaK2",	TCP, ,       "ausgehend", "Ja",   "Smartphone als Kartenleser, Verwendung [#TR-03112]_",										    "Verbindung im lokalen Subnetz"
297   "Update",	TCP, 443,    "ausgehend", "Ja",   "Updates [#govurl]_ zu Anbietern und Kartenlesern sowie Informationen zu neuen AusweisApp2-Versionen [#updatecheck]_ .",	    "Die Zertifikate der TLS-Verbindung werden mit in der AusweisApp2 mitgelieferten CA-Zertifikaten validiert. Im Betriebssystem hinterlegte CA-Zertifikate werden ignoriert."
298
299.. [#TR-03124] Siehe TR-03124 des BSI
300.. [#TR-03112] Siehe TR-03112-6 des BSI
301.. [#govurl] Erreichbar unter dem URL https://appl.governikus-asp.de/ausweisapp2/
302.. [#updatecheck] Die Überprüfung auf neue AusweisApp2-Versionen kann deaktiviert werden, siehe
303    Kommandozeilenparameter UPDATECHECK
304
305.. _firewalltable_de:
306.. csv-table:: Firewallregeln der AusweisApp2
307   :header: "Name", "Protokoll", "Port", "Richtung", "Umgesetzte Verbindung"
308   :widths: 25, 15, 15, 15, 30
309   :align: left
310
311   "AusweisApp2-Firewall-Rule", TCP, \*, "ausgehend", "eID2, eID3, SaK2, Update"
312   "AusweisApp2-SaC", UDP, 24727, "eingehend", "SaK1"
313
314.. raw:: latex
315
316    \end{landscape}
317