1Deutsch 2======= 3 4Windows 5------- 6 7Der Installer der AusweisApp2 kann über die Kommandozeile gestartet werden, um 8den Installationsprozess zu konfigurieren und systemweite Standardeinstellungen 9vorzugeben. 10Der Rückgabewert von msiexec informiert über das Ergebnis der Installation [#msiexecreturnvalues]_. 11Neben den üblichen Parametern [#standardarguments]_ enthält das folgende Kommando 12alle unterstützten Parameter, die im Anschluss erläutert werden. 13 14.. code-block:: winbatch 15 16 msiexec /i AusweisApp2-X.YY.Z.msi /quiet INSTALLDIR="C:\AusweisApp2" SYSTEMSETTINGS=false DESKTOPSHORTCUT=false AUTOSTART=false AUTOHIDE=false REMINDTOCLOSE=false ASSISTANT=false TRANSPORTPINREMINDER=false CUSTOMPROXYTYPE="HTTP" CUSTOMPROXYHOST="proxy.example.org" CUSTOMPROXYPORT=1337 UPDATECHECK=false ONSCREENKEYBOARD=true SHUFFLESCREENKEYBOARD=true HISTORY=false ENABLECANALLOWED=true SKIPRIGHTSONCANALLOWED=true LAUNCH=true 17 18INSTALLDIR 19 Gibt das Installationsverzeichnis an. Ohne Angabe wird der Ordner 20 "C:\\Programme (x86)\\AusweisApp2" genutzt. 21 22SYSTEMSETTINGS 23 Betrifft die Erstellung von Firewall-Regeln der Windows Firewall. Ohne Angabe 24 des Parameters werden die Firewall-Regeln erstellt (true). Durch Angabe von 25 SYSTEMSETTINGS=false werden keine Firewall-Regeln erstellt. 26 27DESKTOPSHORTCUT 28 Durch Angabe von DESKTOPSHORTCUT=false kann die Erstellung einer 29 Desktop-Verknüpfung vermieden werden. Ohne Angabe des Parameters wird eine 30 Desktop-Verknüpfung für alle Benutzer erstellt (true). 31 32AUTOSTART 33 Durch Angabe von AUTOSTART=true wird ein Autostart-Eintrag für alle Benutzer 34 erstellt. Die Deaktivierung des Autostarts ist den Benutzern in der AusweisApp2 35 dadurch nicht möglich. Ohne Angabe wird der Autostart-Eintrag nicht erstellt 36 (false). In diesem Fall ist es jedoch jedem Benutzer möglich, die Autostart- 37 Funktion innerhalb der AusweisApp2 für sich zu aktivieren. 38 39AUTOHIDE 40 Betrifft die automatische Minimierung nach Abschluss einer erfolgreichen 41 Authentisierung. Ohne Angabe ist diese aktiviert (true). Durch AUTOHIDE=false 42 wird diese deaktiviert. Der Benutzer kann diese Einstellung anpassen. 43 44REMINDTOCLOSE 45 Wenn der Benutzer die AusweisApp2 per Klick auf das X schließt, wird er darauf 46 hingewiesen, dass nur die Benutzeroberfläche geschlossen wird und die 47 AusweisApp2 weiterhin im Infobereich zur Verfügung steht. Zu diesem Zeitpunkt 48 ist es möglich, den Hinweis zukünftig zu unterdrücken. Durch REMINDTOCLOSE=false 49 kann dieser Hinweis von vornherein deaktiviert werden. Ohne Angabe ist er 50 aktiviert (true). 51 52ASSISTANT 53 Startet der Benutzer die AusweisApp2 zum ersten Mal, wird die Benutzeroberfläche 54 geöffnet und ein Einrichtungsassistent angezeigt. Bei jedem weiteren Start wird 55 die AusweisApp2 im Hintergrund gestartet und der Einrichtungsassistent erscheint 56 nicht. Durch ASSISTANT=false wird die AusweisApp2 auch beim ersten Start im 57 Hintergrund ohne Einrichtungsassistenten gestartet. Ohne Angabe ist der 58 Einrichtungsassistent aktiviert (true). 59 60TRANSPORTPINREMINDER 61 Zu Beginn einer Selbstauskunft oder Authentisierung wird der Benutzer einmalig 62 danach gefragt, ob er die Transport-PIN schon geändert hat. Durch 63 TRANSPORTPINREMINDER=false kann diese Abfrage deaktiviert werden. Ohne Angabe 64 ist die Abfrage aktiviert (true). 65 66CUSTOMPROXYTYPE 67 Teil der Konfiguration eines Proxys. Gültige Typen sind SOCKS5 und HTTP. 68 Um einen Proxy zu nutzen müssen alle Parameter gesetzt sein (siehe 69 CUSTOMPROXYHOST und CUSTOMPROXYPORT). Der Proxy kann nach der Installation 70 über eine Checkbox in den Einstellungen deaktiviert werden. 71 72CUSTOMPROXYHOST 73 Teil der Konfiguration eines Proxys. Angabe des Hosts, unter dem der Proxy zu 74 erreichen ist. Um einen Proxy zu nutzen müssen alle Parameter gesetzt sein 75 (siehe CUSTOMPROXYTYPE und CUSTOMPROXYPORT). Der Proxy kann nach der 76 Installation über eine Checkbox in den Einstellungen deaktiviert werden. 77 78CUSTOMPROXYPORT 79 Teil der Konfiguration eines Proxys. Angabe des Proxyports. Nur Werte von 80 1 bis 65536 sind gültig. Um einen Proxy zu nutzen müssen alle Parameter 81 gesetzt sein (siehe CUSTOMPROXYTYPE und CUSTOMPROXYHOST). Der Proxy kann nach 82 der Installation über eine Checkbox in den Einstellungen deaktiviert werden. 83 84UPDATECHECK 85 Wird die Benutzeroberfläche der AusweisApp2 geöffnet, wird eine Überprüfung auf 86 eine neue Version der AusweisApp2 gestartet, falls seit der letzten Überprüfung 87 mindestens 24 Stunden vergangen sind. Liegt eine neue Version vor, wird der 88 Benutzer darüber in einem Dialog informiert. Durch Setzen von UPDATECHECK auf 89 false oder true kann diese Überprüfung deaktiviert bzw. aktiviert werden. 90 Die Einstellung kann dann durch den Benutzer in der AusweisApp2 nicht geändert 91 werden. Ohne Angabe ist die Überprüfung aktiviert, der Benutzer kann die 92 Einstellung jedoch ändern. Der UPDATECHECK Parameter beeinflusst weder die 93 Aktualisierung der Anbieterliste noch die Aktualisierung der 94 Kartenleserinformationen. 95 96ONSCREENKEYBOARD 97 Für die Eingabe von PIN, CAN und PUK kann eine Bildschirmtastatur verwendet 98 werden. Durch Setzen von ONSCREENKEYBOARD auf false oder true kann diese 99 deaktiviert bzw. aktiviert werden. Der Benutzer kann diese Einstellung anpassen. 100 101SHUFFLESCREENKEYBOARD 102 Ist die Bildschirmtastatur aktiviert, können die Zifferntasten zufällig angeordnet werden. 103 Durch Setzen von SHUFFLESCREENKEYBOARD auf false oder true kann die zufällige Anordnung 104 deaktiviert bzw. aktiviert werden. Der Benutzer kann diese Einstellung anpassen. 105 106HISTORY 107 Jede Selbstauskunft oder Authentisierung wird im Verlauf gespeichert. Dabei 108 werden jedoch keine persönlichen Daten gespeichert, sondern nur der Zeitpunkt, 109 der Anbieter und die ausgelesenen Datenfelder (ohne Inhalt). Durch Setzen 110 von HISTORY auf false oder true kann der Verlauf deaktiviert bzw. aktiviert 111 werden. Der Benutzer kann diese Einstellung anpassen. 112 113ENABLECANALLOWED 114 Aktiviert die Unterstützung für den CAN-Allowed-Modus (Vor-Ort-Auslesen). Wenn ein entsprechendes 115 Berechtigungszertifikat vorliegt, muss zum Auslesen die CAN anstelle der PIN eingegeben werden. 116 117SKIPRIGHTSONCANALLOWED 118 Überspringt die Anzeige des Berechtigungszertifikat im CAN-Allowed-Modus und wechselt direkt zur 119 CAN-Eingabe. 120 121LAUNCH 122 Startet die AusweisApp2 nach dem Ende der Installation. 123 124Alternativ kann mit Orca [#orca]_ eine MST-Datei erzeugt werden, die die oben 125genannten Parameter definiert. Die Parameter sind in den Tabellen "Directory" 126und "Property" verfügbar. Übergeben lässt sich die MST-Datei mit dem folgenden 127Kommando: 128 129.. code-block:: winbatch 130 131 msiexec /i AusweisApp2-X.YY.Z.msi /quiet TRANSFORMS=file.mst 132 133Um den Start der AusweisApp2 auf Systemen mit fehlender Grafikbeschleunigung 134zu optimieren, kann die Systemvariable "QT_QUICK_BACKEND" auf den Wert 135"software" gesetzt werden. In diesem Fall verzichtet die AusweisApp2 auf den 136Versuch die Grafikbeschleunigung zu nutzen und startet direkt mit dem 137alternativen Softwarerenderer. 138 139macOS 140----- 141 142Unter macOS ist keine Installation per Kommandozeile vorgesehen. Jedoch können 143einige der oben genannten Einstellung durch eine plist-Datei im Verzeichnis 144/Library/Preferences systemweit vorgegeben werden. Diese plist-Datei muss dabei 145manuell durch den Administrator des Systems hinterlegt werden und wird von allen 146(zukünftigen) Installationen der AusweisApp2 verwendet. Alle nicht genannten 147Einstellungen werden auf macOS nicht unterstützt. Der Name der Datei muss 148"com.governikus.AusweisApp2.plist" lauten. Der Inhalt wird im folgenden 149dargestellt: 150 151.. code-block:: xml 152 153 <?xml version="1.0" encoding="UTF-8"?> 154 <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 155 <plist version="1.0"> 156 <dict> 157 <key>autoCloseWindow</key> 158 <false/> 159 <key>remindToClose</key> 160 <false/> 161 <key>showSetupAssistant</key> 162 <false/> 163 <key>transportPinReminder</key> 164 <false/> 165 <key>customProxyType</key> 166 <string>HTTP</string> 167 <key>customProxyHost</key> 168 <string>proxy.example.org</string> 169 <key>customProxyPort</key> 170 <integer>1337</integer> 171 <key>autoUpdateCheck</key> 172 <false/> 173 <key>keylessPassword</key> 174 <true/> 175 <key>shuffleScreenKeyboard</key> 176 <true/> 177 <key>history.enable</key> 178 <false/> 179 <key>enableCanAllowed</key> 180 <true/> 181 <key>skipRightsOnCanAllowed</key> 182 <true/> 183 </dict> 184 </plist> 185 186Für die einzelnen Werte gelten die gleichen Beschreibungen wie für die 187Windows-Version wobei die Bennennung der Attribute der folgenden Tabelle zu 188entnehmen ist. 189 190======================= ======================= 191macOS Windows 192======================= ======================= 193autoCloseWindow AUTOHIDE 194remindToClose REMINDTOCLOSE 195showSetupAssistant ASSISTANT 196transportPinReminder TRANSPORTPINREMINDER 197customProxyType CUSTOMPROXYTYPE 198customProxyPort CUSTOMPROXYPORT 199customProxyHost CUSTOMPROXYHOST 200autoUpdateCheck UPDATECHECK 201keylessPassword ONSCREENKEYBOARD 202shuffleScreenKeyboard SHUFFLESCREENKEYBOARD 203history.enable HISTORY 204enableCanAllowed ENABLECANALLOWED 205skipRightsOnCanAllowed SKIPRIGHTSONCANALLOWED 206======================= ======================= 207 208Nach Änderung der Datei kann es notwending sein, ein erneutes Laden der vom 209Betriebssystem gecachten Daten zu erzwingen: :code:`killall -u $USER cfprefsd` 210 211.. [#msiexecreturnvalues] https://docs.microsoft.com/de-de/windows/desktop/msi/error-codes 212.. [#standardarguments] https://docs.microsoft.com/de-de/windows/desktop/msi/standard-installer-command-line-options 213.. [#orca] https://docs.microsoft.com/de-de/windows/desktop/Msi/orca-exe 214 215 216 217Anforderungen an die Einsatzumgebung 218------------------------------------ 219 220Rechte für Installation und Ausführung 221'''''''''''''''''''''''''''''''''''''' 222 223Für die Installation der AusweisApp2 sind Administratorrechte erforderlich. 224 225Die Ausführung der AusweisApp2 erfordert keine Administratorrechte. 226 227 228Verwendete Netzwerk-Ports 229''''''''''''''''''''''''' 230 231In :numref:`porttable_de` werden alle von der AusweisApp2 genutzten Ports 232aufgelistet. 233Eine schematische Darstellung der einzelnen Verbindungen, die von der 234AusweisApp2 genutzt werden, ist in :numref:`communicationmodel_de` dargestellt. 235 236Die AusweisApp2 startet einen HTTP-Server, der über Port 24727 erreichbar 237ist. 238Der Server empfängt nur auf der localhost Netzwerkschnittstelle. 239Die Erreichbarkeit dieses lokalen Servers ist für die Onlineausweisfunktion 240notwendig, da Anbieter mit einem HTTP-Redirect auf den lokalen Server 241umleiten um den Ausweisvorgang in der AusweisApp2 fortzuführen (eID1). 242Außerdem wird über den Server die Verwendung der AusweisApp2 von anderen 243Anwendungen über eine Websocket-Schnittstelle angeboten (SDK-Funktion, eID-SDK). 244Daher müssen eingehende lokale Netzwerkverbindungen auf dem TCP Port 24727 245ermöglicht werden. 246 247Für die Verwendung von der "Smartphone als Kartenleser"-Funktion über WLAN 248müssen außerdem Broadcasts auf UDP Port 24727 im lokalen Subnetz empfangen 249werden können. 250Hierzu muss eventuell die AP Isolation im Router deaktiviert werden. 251 252.. _communicationmodel_de: 253.. figure:: CommunicationModel_de.pdf 254 255 Kommunikationsmodell der AusweisApp2 256 257Der Installer der AusweisApp2 bietet die Option, für alle angebotenen 258Funktionen der AusweisApp2 die erforderlichen Firewall-Regeln in der 259Windows-Firewall zu registrieren. 260Erfolgt die Registrierung der Firewall-Regeln nicht, wird der Benutzer bei 261einem Verbindungsaufbau der AusweisApp2 mit einem Dialog der Windows-Firewall 262aufgefordert, die ausgehenden Datenverbindungen zuzulassen. 263Durch Registrierung der Firewall-Regeln während der Installation werden diese 264Aufforderungen unterbunden. 265 266Für die lokalen Verbindungen eID1 und eID-SDK müssen (unter den gängigen 267Standardeinstellungen der Windows-Firewall) keine Regeln in der 268Windows-Firewall eingetragen werden. 269 270Die durch den Installer angelegten Regeln werden in Tabelle :numref:`firewalltable_de` 271aufgelistet. 272 273 274TLS-Verbindungen 275'''''''''''''''' 276 277Es ist generell nicht möglich, die AusweisApp2 mit einem TLS-Termination-Proxy 278zu verwenden, da die übertragenen TLS-Zertifikate über eine Verschränkung mit 279dem Berechtigungszertifikat aus der Personalausweis-PKI validiert werden. 280CA-Zertifikate im Windows-Truststore werden daher ignoriert. 281 282.. raw:: latex 283 284 \begin{landscape} 285 286.. _porttable_de: 287.. csv-table:: Netzwerkverbindungen der AusweisApp2 288 :header: "Referenz", "Protokoll", "Port", "Richtung", "Optional", "Zweck", "Anmerkungen" 289 :widths: 8, 8, 8, 8, 8, 35, 25 290 291 "eID1", TCP, 24727, "eingehend", "Nein", "Online-Ausweisvorgang, eID-Aktivierung [#TR-03124]_", "Nur erreichbar von localhost [#TR-03124]_" 292 "eID2", TCP, 443, "ausgehend", "Nein", "Online-Ausweisvorgang, Verbindung zum Anbieter, TLS-1-2-Kanal [#TR-03124]_", "TLS-Zertifikate verschränkt mit Berechtigungs-Zertifikat [#TR-03124]_" 293 "eID3", TCP, 443, "ausgehend", "Nein", "Online-Ausweisvorgang, Verbindung zum eID-Server, TLS-2-Kanal [#TR-03124]_", "TLS-Zertifikate verschränkt mit Berechtigungs-Zertifikat [#TR-03124]_" 294 "eID-SDK", TCP, 24727, "eingehend", "Nein", "Verwendung der SDK-Schnittstelle", "Nur erreichbar von localhost [#TR-03124]_" 295 "SaK1", UDP, 24727, "eingehend", "Ja", "Smartphone als Kartenleser, Erkennung [#TR-03112]_", "Broadcasts" 296 "SaK2", TCP, , "ausgehend", "Ja", "Smartphone als Kartenleser, Verwendung [#TR-03112]_", "Verbindung im lokalen Subnetz" 297 "Update", TCP, 443, "ausgehend", "Ja", "Updates [#govurl]_ zu Anbietern und Kartenlesern sowie Informationen zu neuen AusweisApp2-Versionen [#updatecheck]_ .", "Die Zertifikate der TLS-Verbindung werden mit in der AusweisApp2 mitgelieferten CA-Zertifikaten validiert. Im Betriebssystem hinterlegte CA-Zertifikate werden ignoriert." 298 299.. [#TR-03124] Siehe TR-03124 des BSI 300.. [#TR-03112] Siehe TR-03112-6 des BSI 301.. [#govurl] Erreichbar unter dem URL https://appl.governikus-asp.de/ausweisapp2/ 302.. [#updatecheck] Die Überprüfung auf neue AusweisApp2-Versionen kann deaktiviert werden, siehe 303 Kommandozeilenparameter UPDATECHECK 304 305.. _firewalltable_de: 306.. csv-table:: Firewallregeln der AusweisApp2 307 :header: "Name", "Protokoll", "Port", "Richtung", "Umgesetzte Verbindung" 308 :widths: 25, 15, 15, 15, 30 309 :align: left 310 311 "AusweisApp2-Firewall-Rule", TCP, \*, "ausgehend", "eID2, eID3, SaK2, Update" 312 "AusweisApp2-SaC", UDP, 24727, "eingehend", "SaK1" 313 314.. raw:: latex 315 316 \end{landscape} 317