Häufige Probleme und deren Lösungsmöglichkeiten rund um das beA
Dies ist eine Sammlung oft auftretender Probleme im Zusammenspiel von Advolux und dem beA. Wir listen die wahrscheinliche Ursache auf und zeigen Ihnen Lösungen.
Als Passwort für das Softwarezertifikat in Advolux MUSS das Passwort verwendet werden, das beim Kauf des Zertifikats gewählt wurde.
Es ist NICHT möglich, mit dem Webclient des beA zuverlässig zu prüfen, ob Zertifikat und Passwort korrekt zusammen passen. Diese Prüfung ist NUR mit externen Programmen möglich. Eine Möglichkeit ist am Ende dieses Dokuments beschrieben.
Probleme und Ursachen/Lösungen
1) Zertifikat ist dem beA-Konto nicht zugeordnet
Meldung in Benutzerverwaltung: Meldung: 0904 – The given SAML Response was invalid!*
Meldung im Protokollordner: Folgender Anmeldefehler ist aufgetreten: error constructing MAC: java.lang.SecurityException: JCE cannot authenticate the provider BC Keine Verbindung zum beA-Postfach
Lösung: Im Webclient des beA: In der Profilverwaltung Sicherheits-Token anlegen. Dann in einem zweiten Schritt in der Postfachverwaltung des Webclients: Sicherheits-Token freischalten
2) Zertifikat ist dem beA-Konto zugeordnet, aber nicht freigeschaltet
Meldung in Benutzerverwaltung: Der Zugriff auf das Postfach ist mit folgender Meldung fehlgeschlagen (es wird keine Meldung angezeigt)*
Meldung im Protokollordner: Folgender Anmeldefehler ist aufgetreten: null Keine Verbindung zum beA-Postfach
Lösung: Im Webclient des beA: Postfachverwaltung: Sicherheits-Token freischalten
3) Zertifikat ist dem beA-Konto zugeordnet und freigeschaltet aber das Passwort ist falsch
Meldungen in der Benutzerverwaltung: Fehler beim Öffnen des Zertifikat-Cache
Meldung im Protokollordner:Fehler beim Öffnen des Zertifikat-Cache. Keine Verbindung zum beA-Postfach
Lösung: Das richtige Passwort in Advolux hinterlegen (Benutzerverwaltung).
4) Die Signaturkomponente startet nicht – Systemzeit nicht exakt genug
Meldung im advolux_error.log: java.net.ConnectException: Connection refused: connect
und/oder*
Meldung im advolux_error.log: Keine Verbindung zur Signaturkomponente
Lösung: In den Systemeinstellungen des Betriebssystems Datum und Uhrzeit von einem Internet-Zeitserver beziehen. Grund ist, dass bei der Signatur zur Sicherheit geprüft wird, ob die lokale Zeit auf dem Rechner von der „offiziellen" Zeit abweicht. Ist dies der Fall, darf eine Signatur aus Sicherheitsgründen nicht erfolgen. Die Signaturkomponente wird dann nicht gestartet. Hierfür gibt es keine Einstell- oder Veränderungsmöglichkeiten durch Advolux, diese Sicherheitsprüfung ist fest in den Signaturkomponenten hinterlegt.
5) Die Signaturkomponente startet nicht – Webclient des beA blockiert die Nutzung
keine bekannten Meldungen
Lösung: Den Webclient des beA auf dem betreffenden Rechner deaktivieren. Wenn das nicht hilft: den Webclient des beA auf dem betreffenden Rechner deinstallieren. Hintergrund war ein Problem, dass dem Hersteller des beA bekannt war. Dieses Problem sollte bereits vor längerem behoben werden. Eine offizielle Meldung zur Behebung ist uns nicht bekannt. Allerdings ist dieser Fehler - Stand Februar 2021 - seit längerem nicht mehr gemeldet worden.
6) Der Test in der Mitarbeiterverwaltung funktioniert, trotzdem kein Senden/Empfangen
Lösung:
a) Für das Senden und Empfangen benötigt Advolux den „beA-Service", das ist ein spezieller Dienst auf einem Rechner. Dieser Dienst hat nichts mit dem Test des beA-Zugangs in der Mitarbeiterverwaltung zu tun. In diesem Test wird nur geprüft, ob die unter 1) bis 3) genannten Zugangskriterien erfüllt sind. Der beA-Service muss auf einem Rechner eingerichtet werden, der immer läuft, wenn das beA genutzt werden soll. Üblicherweise ist dies der Server. Den beA-Dienst richten Sie über "System/Einstellungen/Weitere Einstellungen/bea-Service" ein.
Achtung: der beA-Service darf nur auf einem Rechner eingerichtet sein.
Sie müssen daher bei „seltsamem" Verhalten auf jedem Arbeitsplatz und dem Server separat prüfen, ob ggf. mehr als ein beA-Service eingerichtet ist. Hintergrund für die mehrfache Einrichtungsmöglichkeit: Sie möchten den Rechner mit Ihrer Datenbank nicht direkt mit dem Internet verbinden oder es ist denkbar, dass der Dienst auf einem Arbeitsplatzrechner eingerichtet wurde, der defekt ist. Dann kann darüber quasi ein „Notdienst" aktiviert werden. Bitte denken Sie daran, nach dem „Notfall" dafür zu sorgen, dass weiterhin nur ein beA-Dienst insgesamt läuft.
b) Der beA-Service muss in der Firewall explizit freigegeben werden.
Für die Kommunikation verwendet Advolux das sog. KSW-Toolkit, das von der BRAK zur Verfügung gestellt wird. Das KSW-Toolkit kommuniziert mit dem beA-System im Internet über HTTPS, Port 443. Der Stand dieser Information ist Juni 2021.
7) Fehlermeldungen, obwohl die beA-Anbindung ohne Probleme funktioniert
In Advolux in „System-Einstellungen-Mitarbeiter- und Rechteverwaltung" prüfen, ob ggf. zu anderen Benutzern nicht korrekte (oder veraltete) beA-Zugänge hinterlegt sind. Als Grundregel gilt, dass ein beA-Zugang nur bei den Benutzern, die ein eigenes beA-Postfach besitzen, eingerichtet wird.
Kurz zusammengefasst: Anwältin/Anwalt: JA – Reno: NEIN.
8) Der Abruf von beA-Nachrichten funktioniert sporadisch nicht, es existiert ein unspezifisches, unregelmäßiges Problem mit dem Nachrichtenabruf
Im beA-System selbst existiert mit 500 Nachrichten eine Mengenbeschränkung für den Posteingang. Wird diese Nachrichtenzahl erreicht oder sogar überschritten, funktioniert der Nachrichtenabruf nicht mehr zuverlässig. Ursache sind hier interne Beschränkungen im beA-System selbst, durch die dann keine korrekte Meldung über neue Nachrichten an die Kanzleisoftware mehr erfolgen. Advolux ist daher standardmäßig so eingestellt, das abgerufene Nachrichten vom Posteingang im beA-System in den dortigen Papierkorb verschoben werden. Die Mengenbeschränkung kann so nicht zum Problem werden.
Falls Sie diese Automatik abgeschaltet haben - z.B. weil Sie die Nachrichten auch über eine weitere Software abholen wollen - müssen Sie den Posteingang manuell von Zeit zu Zeit im Webclient des beA leer räumen. Wir empfehlen dringend, hier deutlich unter den erlaubten 500 Nachrichten zu bleiben.
Die Prüfung, ob das Passwort für das Zertifikat korrekt ist
Wie oben beschrieben ist es NICHT möglich, mit dem Webclient des beA zuverlässig zu prüfen, ob die Kombination von Zertifikat und Passwort korrekt ist. Über die Gründe könnten wir nur spekulieren. Eine zuverlässige Prüfung ist jedoch z.B. mit dem Browser Firefox möglich.
Starten Sie dafür zunächst diesen Browser. Öffnen Sie nun die Einstellungen. Diese finden Sie
- bei Apple unter Firefox → Einstellungen
- bei Windows unter Extras → Einstellungen
Ggf. müssen Sie unter Windows die Menüleiste mit den Punkten „Extras“ usw. zunächst über Klick mit der rechten Maustaste zuschalten.
Wählen Sie dort den Punkt „Datenschutz & Sicherheit“. Scrollen Sie dort auf der rechten Seite herunter bis zum Unterpunkt „Sicherheit“.
Wählen Sie dort nun „Zertifikat anzeigen“. Im erscheinenden Fenster wählen Sie den Karteireiter „Ihre Zertifikate“.
Wählen Sie nun den Punkt „Importieren“. Es erscheint ein Dateibrowser, über den Sie dann Ihr Softwarezertifikat auswählen. Nach der Auswahl des Zertifikats werden Sie zur Eingabe des Passwortes aufgefordert.
An dieser Stelle funktioniert nur das korrekte Passwort, mit dem der Inhalt des Zertifikats verschlüsselt wurde. Geben Sie nun das Passwort ein.
War das eingegebene Passwort korrekt, wird das Zertifikat nun zusätzlich zur Auswahl in Firefox angezeigt.
Sie können sich nun über „Ansehen“ die Details des Zertifikats anzeigen lassen.
Wenn das eingegebene Passwort nicht korrekt war, wird das Zertifikat nicht in dieser Übersicht angezeigt. Sie können die Auswahl des Zertifikats und die anschließende Eingabe des Passwortes beliebig oft wiederholen. So können Sie verschiedene Passwörter ausprobieren, falls das notierte Passwort nicht korrekt sein sollte.