|
| |
mcCrypt
Version 1.2 Copyright © Microcare Systemhaus GmbH
Inhalt
Aufruf
mcCrypt.exe <Befehl> [/<Schalter> <parameter>]*
Übersicht
 | Aktuellen Status anzeigen:
mcCrypt.exe Status /Config <Datei> [/Log <Datei>]
|
| Fenster zur Eingabe der Firmendaten anzeigen:
mcCrypt.exe Mandant /Config <Datei> [/Log <Datei>]
|
| Konfiguration über das Internet aktivieren:
mcCrypt.exe Activate /Config <Datei> [/Log <Datei>]
|
| TrustCenter-Daten und Annahme-Schlüssel über das Internet aktualisieren:
mcCrypt.exe UpdateTC /Config <Datei> [/Log <Datei>]
|
| Vorhandene Zertifizierungsanfrage verwerfen:
mcCrypt.exe ClearRequest /Config <Datei> [/Log <Datei>]
|
| Neue Zertifizierungsanfrage erstellen:
mcCrypt.exe CreateRequest /Config <Datei> /Mode <Modus> /Request <Datei>
[/Log <Datei>]
|
| Zertifizierungsantrag auf dem Standarddrucker ausdrucken:
mcCrypt.exe PrintRequest /Config <Datei> [/Log <Datei>]
|
| Zertifizierungsantwort importieren:
mcCrypt.exe ImportReply /Config <Datei> /Mode <Modus> /Reply <Datei>
[/Log <Datei>]
|
| Nutzdatendatei verschlüsseln:
mcCrypt.exe Encrypt /Config <Datei> /Mode <Modus> /Recipient <Empfänger>
/Plain <Datei> /Crypt <Datei> [/Log <Datei>]
|
| Nutzdatendatei entschlüsseln:
mcCrypt.exe Decrypt /Config <Datei> /Mode <Modus> /Crypt <Datei>
/Plain <Datei> [/Log <Datei>]
|
| Restlaufzeit des eigenen Zertifikates in Tagen:
mcCrypt.exe CertificateValid /Config <Datei> [/Log <Datei>]
Rückgabewert = Anzahl Tage
|
| Modus des eigenen Zertifikates in anzeigen:
mcCrypt.exe CertificateMode /Config <Datei> [/Log <Datei>]
Rückgabewert = Modus (PEM=1421, PKCS=2315) |
Befehle
Status |
Gibt den aktuellen Status aus |
Kann jederzeit aufgerufen werden. In der Logdatei werden Infos ausgegeben, z.B.
Hash-Code. |
Mandant |
Zeigt ein Fenster zur Eingabe der Firmendaten an |
Korrekte Firmendaten sind Voraussetzung für eine Zertifikatsanfrage.
Die Pflichtfelder (Firmenname, IK bzw. BN, Ansprechpartner) in den Firmendaten lassen
sich nicht mehr ändern, sobald eine Zertifizierungsanfrage erstellt oder eine
Zertifizierungsantwort importiert wurde (siehe ClearRequest). |
Activate |
Aktiviert diese Konfiguration über das Internet |
Ohne Aktivierung können keine Zertifizierungsanfragen erstellt, Dateien verschlüsselt
etc. werden.
Für die Aktivierung wird eine bestehende Internet-Verbindung benötigt.
Bei der Aktivierung wird der Hersteller-Code sowie die IK-Nummer bzw. BN an den
Aktivierungsserver gesendet und dort gespeichert. Jede IK-Nummer bzw. BN muss nur
einmal aktiviert werden. Um die Aktivierung erfolgreich durchführen zu können,
muss der Hersteller für jede IK-Nummer bzw. BN seiner Kunden eine Lizenz erworben
worden haben. Mehfache Aktivierungen mit der gleichen IK-Nummer bzw. BN werden nicht
gesondert gezählt und erfordern daher auch keine weiteren Lizenzen. |
UpdateTC |
Aktualisiert TrustCenter-Daten und Annahme-Schlüssel über das Internet. |
Vom TrustCenter werden die Dateien annahme.key und annahme.agv
sowie annahme-pkcs.key und annahme-pkcs.agv heruntergeladen.
Die Annahme-Schlüssel sollten regelmässig aktualisiert werden. |
ClearRequest |
Verwirft eine vorhandene Zertifizierungsanfrage |
Nur nötig falls bei der Erzeugung einer Zertifizierungsanfrage versehentlich
falsche Daten eingegeben worden waren.
Nicht mehr möglich, nachdem die Zertifizierungsantwort importiert wurde - in
diesem Fall muss die ganze Konfigurationsdatei neu angelegt werden. |
CreateRequest |
Erzeugt eine neue Zertifizierungsanfrage |
Dabei wird ein privater Schlüssel erzeugt und in der Konfigurationsdatei gespeichert.
Der Verarbeitungs-Modus (Schalter /Mode) muss angegeben sein.
Die Zertifizierungsanfrage wird in der angegebenen Datei (Schalter /Request)
gespeichert und muss per email an die Zertifizierungsstelle geschickt werden.
Die Zertifizierungsstelle stellt für jedes ausgestellte Zertifikat eine Rechnung. |
PrintRequest |
Druckt den Zertifizierungsantrag auf den Standarddrucker |
Der Ausdruck muss unterschrieben, evtl. noch ergänzt und dann an die Zertifizierungsstelle
geschickt werden. |
ImportReply |
Importiert die Zertifizierungsantwort |
Sie erhalten die Datei mit der Zertifizierungsantwort von der Zertifizierungsstelle.
Der Verarbeitungs-Modus (Schalter /Mode) muss angegeben sein. |
CertificateValid |
Gibt die Gültigkeitsdauer des Zertifikats in Tagen aus |
|
CertificateMode |
Zeigt den Modus des Zertifikats an |
mögliche Werte: PEM=1421, PKCS=2315 |
Encrypt |
Verschlüsselt eine Nutzdatendatei |
|
Decrypt |
Entschlüsselt eine empfangene Datei |
Verschlüsselte Dateien von den Kassen können damit entschlüsselt
werden. Auch Dateien, die Sie selbst verschlüsselt haben, können damit
wieder entschlüssselt werden. |
Schalter
/Config |
Gibt die Datei an, in der mcCrypt die Einstellungen speichert |
Sollte bei allen Befehlen angegeben werden
sinnvoll: <IK-Nummer bzw. BN>.xml
Die Mandantenfähigkeit wird über die unterschiedlichen Konfigurationsdateien
hergestellt. Wird der Schalter /Config nicht angegeben, wird die Datei
mcCrypt.xml verwendet. |
/Request |
Gibt die Datei an, in der die Zertifizierungsanfrage gespeichert werden soll |
Muss bei CreateRequest angegeben werden.
Üblicherweise:
<erste 8 Stellen der IK-Nummer>.crq bzw. <Betriebsnummer>.crq
(PEM-Verfahren)
<erste 8 Stellen der IK-Nummer>.p10 bzw. <Betriebsnummer>.p10
(PKCS-Verfahren)
|
/Reply |
Gibt die Datei an, aus der die Zertifizierungsantwort gelesen werden soll |
Muss bei ImportReply angegeben werden
Üblicherweise:
<erste 8 Stellen der IK-Nummer>.crp bzw. <Betriebsnummer>.crp
(PEM-Verfahren)
<erste 8 Stellen der IK-Nummer> bzw. <Betriebsnummer>
(PKCS-Verfahren; keine Datei-Erweiterung)
|
/Mode |
Verarbeitungs-Modus |
Muss bei CreateRequest, ImportReply, Encrypt
und Decrypt angegeben werden
mögliche Werte: PEM, PKCS |
/Recipient |
IK-Nummer bzw. BN des Empfängers (Annahmestelle) |
Muss bei Encrypt angegeben werden |
/Plain |
Zu verschlüsselnde bzw. entschlüsselte Nutzdatendatei |
Muss bei Encrypt bzw. Decrypt angegeben werden |
/Crypt |
Verschlüsselte Nutzdatendatei |
Muss bei Encrypt bzw. Decrypt angegeben werden |
/Log |
Protokoll in die angegebene Datei speichern (anhängen) |
Kann bei allen Befehlen angegeben werden |
Rückgabewerte
0 |
OK |
Verarbeitung erfolgreich abgeschlossen |
1 |
StatusMandant |
Die Firmendaten sind eingegeben und entsprechen den Richtlinien |
2 |
StatusActivated |
Die Konfiguration wurde aktiviert |
3 |
StatusRequest |
Eine Zertifizierungsanfrage wurde erstellt |
4 |
StatusCertificate |
Ein Zertifikat wurde importiert - ab jetzt kann verschlüsselt werden |
-1 |
Cancel |
Benutzer hat die Verarbeitung abgebrochen |
-2 |
ErrorUnknown |
Ein nicht näher spezifizierbarer Fehler ist aufgetreten |
-3 |
ErrorException |
Bei der Verarbeitung ist eine Ausnahme aufgetreten |
-4 |
ErrorFile |
Beim Lesen oder Schreiben einer Datei ist ein Fehler aufgetreten |
-5 |
ErrorCommand |
Es wurde kein oder ein ungültiger Befehl übergeben |
-6 |
ErrorUsage |
Die übergebenen Parameter konnten nicht ausgewertet werden |
-7 |
ErrorValues |
Die Firmendaten sind für die geforderte Verarbeitung nicht zulässig |
-8 |
ErrorActivation |
Die Aktivierung wurde bzw. konnte nicht durchgeführt werden |
-9 |
ErrorCertificate |
Das Zertifikat bzw. die Zertifizierungsanfrage ist für die geforderte Verarbeitung
nicht gültig |
-10 |
ErrorCrypto |
Bei der kryptographischen Verarbeitung ist ein Fehler aufgetreten |
-11 |
ErrorMode |
Ein ungültiger Modus wurde angegeben |
Negative Werte zeigen generell einen Fehler an.
Der Befehl Status gibt im Erfolgsfall positive Werte zurück. Die
Status-Werte beinhalten jeweils die numerisch niedrigen Status-Werte.
Der Befehl CertificateValid gibt die Gültigkeitsdauer des Zertifikats
in Tagen zurück. (kann auch negativ sein, wenn abgelaufen)
Der Befehl CertificateMode gibt den Modus des Zertifikats als numerischen
Wert zurück. (PEM=1421, PKCS=2315)
Beispiel
Zum Testen kann die IK-Nummer 123456789 bzw. BN 12345678
verwendet werden. mcCrypt funktioniert dann auch ohne Aktivierung.
-
Eingabe der Firmendaten
mcCrypt.exe Mandant /Config 123456789.xml /Log 123456789.log
Das Fenster zur Eingabe der Firmendaten wird angezeigt:
Die farbig hinterlegten Felder sind Pflichtfelder.
Es dürfen keine Umlaute ( ä, ö, ü,
etc.) oder Sonderzeichen ( ß, +, &,
;, _, Komma, Anführungszeichen, §
etc.) eingegeben werden.
Zugelassen sind Buchstaben, Zahlen, Leerschritt, /, (,
), Minus und Punkt.
Der Hersteller-Code ist je Softwarehersteller eindeutig und darf nicht verändert
werden. Er wird aus der Datei serial.txt gelesen.
Für das Beispiel geben Sie in das Feld IK-Nummer die 123456789
ein:
-
Aktivierung
mcCrypt.exe Activate /Config 123456789.xml /Log 123456789.log
Für die Aktivierung wird eine bestehende Internet-Verbindung benötigt.
Bei der Aktivierung wird der Hersteller-Code sowie die IK-Nummer bzw. BN an den
Aktivierungsserver gesendet.
Ohne Aktivierung können keine Zertifizierungsanfragen erstellt, Dateien verschlüsselt
etc. werden.
-
TrustCenter-Daten und Annahme-Schlüssel über das Internet aktualisieren
mcCrypt.exe UpdateTC /Config <Datei> [/Log <Datei>]
Dabei werden die Dateien tc.xml sowie annahme.key und
annahme.agv aus dem Internet geladen und in das aktuelle Verzeichnis
gespeichert.
-
Zertifzierungsanfrage
mcCrypt.exe CreateRequest /Mode PKCS /Request 12345678.p10 /Config 123456789.xml
/Log 123456789.log
Die Zertifizierungsanfrage wird in der Datei 12345678.p10 gespeichert.
Diese Datei muss dann per email an
die Zertifizierungsstelle geschickt
werden. In der Demoversion muss die Anfrage nicht verschickt werden!
-
Zertifizierungsantrag
mcCrypt.exe PrintRequest /Mode PKCS /Config 123456789.xml /Log 123456789.log
 
Der Zertifizierungsantrag muss unterschrieben und mit Kopien zur Identitätsfeststellung
etc. an die angegebene Adresse geschickt werden.
Die Zertifizierungsstelle bearbeitet dann die Anfrage und schickt eine Datei mit
der Zertifizierungsantwort.
Für den Test ist es möglich, die Zertifizierungsanfrage als Zertifizierungsantwort
zu benutzen. Kopieren Sie dazu die Datei 12345678.p10 nach 12345678.p7c.
Damit können Test-Dateien ver- und entschlüsselt werden, die Annahmestellen
verweigern jedoch die Annahme, da das Zertifikat nicht von der Zertifizierungsstelle
beglaubigt ist.
-
Zertifizierungsantwort
mcCrypt.exe ImportReply /Mode PKCS /Reply 12345678.p7c /Config 123456789.xml /Log
123456789.log
Die Zertifizierungsantwort wird eingelesen.
-
Verschlüsseln
mcCrypt.exe Encrypt /Mode PKCS /Plain klar.txt /Crypt sicher.txt /Recipient 108310400
/Config 123456789.xml /Log 123456789.log
Die Datei klar.txt wird verschlüsselt und das Ergebnis in der
Datei sicher.txt gespeichert. Als Empfänger ist in diesem Beispiel
die AOK Bayern DAV mit der IK-Nummer 108310400 angegeben.
-
Entschlüsseln
mcCrypt.exe Decrypt /Mode PKCS /Crypt sicher.txt /Plain offen.txt /Config 123456789.xml
/Log 123456789.log
Die verschlüsselte Datei sicher.txt wird entschlüsselt und
als offen.txt abgespeichert.
-
Status abfragen
mcCrypt.exe Status /Config 123456789.xml /Log 123456789.log
Hinweise
Hersteller-Code
Der Hersteller-Code dient zur Unterscheidung der Lizenzen bei der Aktivierung und
wird in der Konfigurationsdatei gespeichert.
Falls in der Konfigurationsdatei kein Hersteller-Code gespeichert ist, versucht
mcCrypt.exe den Hersteller-Code aus der Datei serial.txt
zu lesen.
Dateien
mcCrypt.exe,
Microsoft.ApplicationBlocks.Data.dll |
Hauptprogramm und zugehörige Bibliotheken |
Das Microsoft DotNet Framework 2.0 oder höher muss installiert sein. Dateien
müssen an den Endkunden ausgeliefert werden. |
serial.txt |
Datei mit Hersteller-Code |
Muss an den Endkunden ausgeliefert werden. |
tc.xml |
Datei mit Angaben zum TrustCenter |
wird mit Befehl UpdateTC aktualisiert |
annahme.key,
annahme.agv,
annahme-pkcs.key,
annahme-pkcs.agv |
Datei(en) mit Empfängerzertifikaten |
werden mit Befehl UpdateTC aktualisiert |
<IK-Nummer bzw. BN>.xml |
Konfigurationsdatei |
enthält Kundendaten und den privaten Schlüssel des Endkunden.
sollte unbedingt über ein Backup gesichert werden, ein Verlust
dieser Datei erfordert eine neue Zertifizierung! |
<IK-Nummer bzw. BN>.log |
Logdatei |
siehe Schalter /Log |
Konfigurationsdatei - Beispiel
<?xml version="1.0" encoding="utf-8"?>
<settings>
<section name="mandant">
<entry name="firma">Musterfirma</entry>
<entry name="ik">123456789<entry>
<entry name="bn">12345678<entry>
<entry name="name">Michaela Musterfrau</entry>
<entry name="strasse">Musterstrasse 1</entry>
<entry name="plz">12345</entry>
<entry name="ort">Musterstadt</entry>
<entry name="tel">+49 1234 5678-9</entry>
<entry name="fax">+49 1234 5678-0</entry>
<entry name="email">musterfrau@musterfirma.de</entry>
<entry name="cert"></entry>
</section>
<section name="options">
<entry name="vendor">Microcare Systemhaus GmbH</entry>
<entry name="app">CAREOLINE</entry>
<entry name="serial">ABCD-EFGH</entry>
<entry name="key">F29EC087CCE97FADC1701058C97E1121</entry>
</section>
</settings>
Achtung: Im Abschnitt mandant darf nur entweder ik oder
bn angegeben sein!
Logdatei - Beispiel
mcCrypt.exe Version 1.2.0.0 © Microcare Systemhaus GmbH
Microsoft.ApplicationBlocks.Data.DLL Version 2.0.0.0
Parameter und Befehle lesen...
Befehl gelesen: UpdateTC
Paramter gelesen: /Config, 123456789.xml
Paramter gelesen: /Log, 123456789.log
Befehle und Paramter lesen fertig.
Konfiguration öffnen...
Firmendaten laden...
Hersteller-Code lesen...
Firmendaten überprüfen...
ungültiger Firmenname!
Zertifikat/Anfrage laden...
TrustCenter-Daten laden...
Versuche aktuelle tc.xml von http://www.mcsh.de/activate/tc.xml zu laden...
Versuche aktuelle annahme.key von http://www.itsg.de/tc/tc-ftp/tc-download/cci-ftp-upload/le/annahme.key zu laden...
Versuche aktuelle annahme.agv von http://www.itsg.de/tc/tc/tc-ftp/tc-download/cci-ftp-upload/ag/annahme.agv zu laden...
Installation
| DotNet Framework 2.0 (oder höher) installieren |
| Dateien in beliebiges Verzeichnis kopieren |
| Fertig! |
Proxy
mit einer .config-Datei kann der Standard-Proxy des DotNet-Framework
angepasst werden.
Beispiel für eine mcCrypt.exe.config-Datei:
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxy.firma.de:8080" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Betrieb im Netzwerk
| Aufruf über UNC-Pfad |
| Es gelten die DotNet Spielregeln für Sicherheit im Netzwerk (siehe
CasPol.exe). |
| Beispiel:
%windir%\Microsoft.NET\Framework\v2.0.50727\CasPol.exe -quiet -machine -addgroup LocalIntranet_Zone
-url \\<server>\mcCrypt\* FullTrust -name "mcCrypt.exe" -description "mcCrypt" |
Testen
| Verwenden Sie die IK-Nummer 123456789 bzw. die BN 12345678.
Mit diesen Test-Nummern ist keine Aktivierung nötig, allerdings sind das auch
keine gültigen Nummern für den Echt-Betrieb. |
| Nach dem Aufruf von CreateRequest erhalten Sie die Datei 12345678.p10.
Diese kann kopiert werden in die Datei 12345678.p7c.
Danach können Sie ImportReply testen und Dateien verschlüsseln. |
Änderungen in
Version 1.1
Neu in Version 1.1 ist die Unterstützung des PKCS-Verfahrens für
die Verschlüsselung.
Dazu ist es jetzt nötig, auch bei den Befehlen CreateRequest und
ImportReply den Schalter /Mode anzugeben.
Der Modus eines Zertifikates kann mit dem neuen Befehl CertificateMode
abgefragt werden.
Der Hash-Code kann über den Befehl Status aus der Logdatei ausgelesen werden.
Änderungen in Version 1.2
Neu in Version 1.2:
Zu verschlüsselnde Dateien können größer 1GB sein.
Nur noch 2 Dateien werden benötigt:
- mcCrypt.exe
- Microsoft.ApplicationBlocks.Data.dll
dakota
Mit dakota erzeugte Zertifikate können nicht verwendet werden.
Backup
Zu sichern sind die Dateien
*.xml !!! (enthalten die privaten Schlüssel)
*.crp (PEM)
*.crq (PEM)
*.p10 (PKCS)
*.p7c (PKCS)
annahme.key (PEM)
annahme.agv (PEM)
annahme-pkcs.key(PKCS)
annahme-pkcs.agv(PKCS)
|
