Zum Inhalt

exlega Signer

Der exlega Signer ist ein kleines Hilfsprogramm, das auf Ihrem Arbeitsplatzrechner läuft. Es wird ausschließlich für die Erstellung einer qualifizierten elektronischen Signatur (QES) in exlega benötigt — mit Ihrer lokalen Signaturkarte (z. B. beA-Karte, Telesec-Signaturkarte, D-Trust Card, Notarausweis, eHBA). Die Fernsignatur der Bundesnotarkammer ist als künftiges Feature vorgesehen, im aktuellen Release aber noch nicht aktiv.

Beim ersten Start müssen Sie einmal Ihre Karte im Karten-Dropdown auswählen — die Auswahl bleibt gespeichert.

Wann brauche ich den Signer?

Nur dann, wenn Sie ein Dokument in exlega qualifiziert elektronisch signieren möchten (Knopf „Signieren (QES)" in der Aktendetailansicht). Für Login, beA-Versand ohne QES, E-Mail-Signatur (S/MIME / PGP) oder andere Funktionen ist der Signer nicht erforderlich.

Download

Die jeweils aktuelle Version finden Sie unter:

https://downloads.exlega.de

Auf der Download-Seite sehen Sie pro Plattform:

  • die aktuelle Version und das Veröffentlichungsdatum
  • den Download-Button
  • den SHA-256-Hash der Datei (zum Prüfen der Echtheit)
  • eine kurze Anleitung, wie Sie den Hash auf Ihrem System berechnen

Echtheit prüfen (empfohlen)

Vor der Installation sollten Sie prüfen, dass die heruntergeladene Datei nicht manipuliert wurde. Vergleichen Sie den auf der Download-Seite angezeigten SHA-256-Hash mit dem Hash der Datei auf Ihrem Rechner:

shasum -a 256 exlega-signer-macos-X.Y.Z.dmg

Get-FileHash exlega-signer-windows-X.Y.Z.zip -Algorithm SHA256

Beide Hashes müssen Zeichen für Zeichen übereinstimmen. Stimmen sie nicht überein, nicht installieren und uns kontaktieren.

Installation

Aktuell nicht von Apple notarisiert

Der exlega Signer ist derzeit nicht von Apple notarisiert. Beim ersten Start wird er deshalb von macOS blockiert. Sie müssen den Start einmalig in den Systemeinstellungen freigeben — danach läuft die App ganz normal.

  1. .dmg öffnen und exlega Signer.app in den Applications-Ordner ziehen
  2. exlega Signer.app per Doppelklick öffnen — macOS zeigt eine Meldung, dass die App „nicht geöffnet werden kann, weil Apple sie nicht auf Schadsoftware prüfen konnte". Den Dialog mit Fertig schließen
  3. Systemeinstellungen → Datenschutz & Sicherheit öffnen und nach unten scrollen. Dort steht: „exlega Signer wurde blockiert, um deinen Mac zu schützen." — daneben auf Dennoch öffnen klicken (ggf. Admin-Passwort / Touch ID)
  4. Die App erneut starten und den Hinweis mit Öffnen bestätigen
  5. Es öffnet sich ein kleines Status-Fenster

Diese Freigabe ist nur einmalig nötig. Bei späteren Updates der gleichen App genügt der normale Doppelklick.

  1. .zip herunterladen und entpacken (z. B. nach %LOCALAPPDATA%\exlega-signer\), dann exlega-signer.exe doppelklicken
  2. Beim ersten Start ggf. Windows-SmartScreen-Hinweis bestätigen
  3. Es öffnet sich ein kleines Status-Fenster

Unterstützte Signaturkarten

Wählen Sie im Karten-Dropdown des Status-Fensters den Eintrag passend zu Ihrer Karte:

Ihre Karte Eintrag im Dropdown
beA-Karte (Bundesnotarkammer) — lokale Signatur Telesec Signaturkarte (Light / Standard / Multi)
Signaturkarte Light / Standard / Multi (Telekom Security / Telesec) Telesec Signaturkarte (Light / Standard / Multi)
Notarausweis (Telesec NetKey Pro) Notarausweis (Telesec NetKey Pro)
D-Trust Card 4.1a (Standard / Multi / Multi 100 / UPC) D-Trust Card (4.1a / 5.1, alle Varianten)
D-Trust Card 5.1 (Standard / Multi / Multi 100) D-Trust Card (4.1a / 5.1, alle Varianten)
DGN sprintCard / businessCard eHBA — D-Trust / Medisign / DGN-Karten
Elektronischer Heilberufsausweis (eHBA) — Telekom-Variante eHBA — Telekom-Variante
Elektronischer Heilberufsausweis (eHBA) — D-Trust / Medisign eHBA — D-Trust / Medisign / DGN-Karten

Wenn Ihre Karte nicht aufgelistet ist

Probieren Sie zuerst „D-Trust Card …" — das verwendet OpenSC, das viele eIDAS-konforme Karten erkennt. Funktioniert das nicht, kontaktieren Sie uns mit Hersteller- und Modellangabe Ihrer Karte.

Verwendung

Während Sie in exlega signieren, muss der exlega Signer laufen. Der Ablauf ist:

  1. exlega Signer starten (Doppelklick auf das App-Icon)
  2. Beim ersten Mal: im Karten-Dropdown Ihre Karte auswählen (s. Tabelle oben). Die Auswahl wird gespeichert und beim nächsten Start automatisch geladen
  3. Karte einstecken — der Signer zeigt unter Zertifikat Ihren Namen an
  4. Im Browser zu Ihrer Akte navigieren und das Dokument auswählen
  5. Signieren (QES) klicken
  6. Im erscheinenden Dialog wird der Status des Signers angezeigt (Bereit)
  7. Auf Signieren klicken — Sie werden zur PIN-Eingabe aufgefordert
  8. Nach erfolgreicher Signatur: Dokument wird zurück in exlega übernommen
  9. exlega Signer beenden, sobald die Signaturen abgeschlossen sind

Mehrere Signaturen hintereinander

Solange der Signer läuft, können Sie nacheinander mehrere Dokumente signieren, ohne ihn zwischendurch neu zu starten.

PIN-Pad-Lesegeräte

Bei Lesegeräten mit eigenem PIN-Pad (z. B. Reiner SCT cyberJack) erfolgt die PIN-Eingabe direkt am Gerät, nicht in der Software. Der Signer fragt dann nicht nach Ihrer PIN — Sie geben sie auf der Tastatur des Lesegeräts ein.

Status-Fenster

Das Status-Fenster zeigt:

  • Karte: Dropdown mit Ihrer ausgewählten Karten-Familie. Daneben ein 🔄-Button („Karte neu lesen") — kommt z. B. nach einem Karten-Wechsel zum Einsatz
  • Status: „Signer bereit", „Wird signiert…", oder eine Fehlermeldung
  • Zertifikat: Name des aktuell verwendeten Signaturzertifikats
  • Version und Port im Footer
  • Links zu exlega.de und zum Handbuch

Nur QES-Zertifikate werden angezeigt

Auf manchen Karten (z. B. D-Trust Card 5.1) liegen mehrere Zertifikate — etwa eines fürs Signieren, eines für Authentifizierung, eines für Verschlüsselung. Der exlega Signer zeigt nur das Signatur-Zertifikat an (KeyUsage: Content Commitment, der eIDAS-Standard für QES). Authentifizierungs-, Verschlüsselungs- und CA-Zertifikate werden ausgeblendet, damit es nicht zu Verwechslungen kommt.

Karten- und Treiberwechsel

Wenn Sie eine andere Karte einstecken (z. B. von Anwaltskarte auf Notarausweis wechseln) oder einen anderen Kartentyp benutzen wollen:

  • Andere Karte gleicher Familie: einfach Karte tauschen, dann 🔄 klicken — die neuen Zertifikate werden geladen
  • Anderer Kartentyp (z. B. Wechsel von Telesec auf D-Trust): im Karten-Dropdown den passenden Eintrag wählen — der Treiber wird automatisch umgeschaltet, und die Zertifikate der neuen Karte erscheinen

Die App muss dafür nicht neu gestartet werden.

Hinweise zur Sicherheit

  • Der Signer läuft lokal auf Ihrem Rechner und kommuniziert ausschließlich mit Ihrer exlega-Instanz im Browser
  • Das eigentliche PDF verlässt nie Ihren Rechner — exlega übermittelt nur den SHA-256-Hash des Dokuments an den Signer
  • Die Signatur wird mit dem Hash erzeugt; das Dokument selbst bleibt unverändert
  • Der private Signaturschlüssel verlässt nie die Karte (bzw. die HSM des Vertrauensdiensteanbieters bei der Fernsignatur)

Updates

Auf der Download-Seite ist immer die aktuelle Version markiert. Über den aufklappbaren Bereich „Frühere Versionen" sind ältere Releases erreichbar (z. B. zur Wiederherstellung einer bekannt funktionierenden Version).

Wenn Sie eine ältere Version installiert haben, einfach die neue Version herunterladen und über die alte installieren — bei macOS die neue .app ins Applications-Verzeichnis ziehen und bestätigen, bei Windows den neuen Inhalt der .zip über das alte Verzeichnis kopieren.

Fernsignatur (in Vorbereitung)

Im Karten-Dropdown ist der Eintrag „Fernsignatur (Bundesnotarkammer)" gelistet, der aktuell jedoch noch nicht aktiv ist. Beim Auswählen erscheint ein Hinweistext im Status-Fenster.

Die Anbindung an die Fernsignatur-API der Bundesnotarkammer ist für ein künftiges Release vorgesehen. Bis dahin wickeln Sie reine Fernsignaturen (z. B. mit beA-Karte Basis ohne lokale QES-Funktion) bitte direkt über das BNotK-Webportal ab.