Datei:         ENTRY-LIESMICH.TXT
Produkt:       Secure Entry Client
Hersteller:    NCP engineering GmbH Nrnberg, Deutschland

Produktbeschreibung, Installation und Software-Aktivierung
===============================================================================

Der universelle IPsec Client

Der IPsec Client kann in beliebigen VPN-Umgebungen eingesetzt werden. Er 
kommuniziert auf der Basis des IPsec-Standards mit den Gateways verschiedenster 
Hersteller* und ist die Alternative zu der am Markt angebotenen, einheitlichen 
IPsec-Client-Technologie. Die Client Software emuliert einen Ethernet LAN-
Adapter. Der IPsec Client verfgt ber zustzliche Leistungsmerkmale, die dem 
Anwender den Einstieg in eine ganzheitliche Remote Access VPN-Lsung 
ermglichen.

Der IPsec Client bietet:
- Untersttzung aller gngigen Betriebssysteme
- Einwahl ber alle bertragungsnetze
- Kompatibilitt mit den VPN Gateways unterschiedlichster Hersteller*
- Integrierte Personal Firewall fr mehr Sicherheit
- Dialer-Schutz (keine Bedrohung durch 0190er- und 0900er-Dialer)
- Hhere Geschwindigkeit im ISDN (Kanalbndelung)
- Gebhrenersparnis (Kosten- und Verbindungskontrolle)
- Bedienungskomfort (grafische Oberflche)
- Zentrales Management**
*) Kompatibilittsliste kann angefordert werden unter marketing@ncp-e.com
**) optional

Leistungsumfang

Der IPsec Client untersttzt alle gngigen Betriebssysteme 32/64 Bit (Windows 
XP, Vista und Windows 7). Die Einwahl in das Firmennetz erfolgt unabhngig vom 
Mediatyp, d. h. neben ISDN, PSTN (analoges Fernsprechnetz), GSM, GPRS/UMTS und 
xDSL wird auch LAN-Technik wie im WLAN (am Firmengelnde und Hotspot) oder 
lokalen Netzwerk (z. B. Filialnetz) untersttzt. Auf diese Weise kann mit ein 
und demselben Endgert von unterschiedlichen Lokationen auf das Firmennetz 
zugegriffen werden:
- in der Filiale ber WLAN
- in der Zentrale ber LAN
- unterwegs an Hotspots und beim Kunden ber WLAN bzw. GPRS
- im Home Office ber xDSL oder ISDN



Hinweise zu Installation und Deinstallation
===============================================================================

Die Installation der Software fr Windows-Systeme erfolgt komfortabel ber 
Setup. Der Installationsablauf ist fr alle Versionen des Clients identisch. Im 
folgenden ist die Installation fr Windows XP, Vista und Windows 7 beschrieben.

Bevor Sie die Software installieren, mssen, zur vollen Funktionsfhigkeit die 
Installationsvoraussetzungen, wie im folgenden Kapitel beschrieben, erfllt 
sein.

Beachten Sie auerdem, das der Client ab Version 8.31 bei einer Neu-Installation 
in das Programm-Verzeichnis des Betriebssystems (Programme\NCP\SecureClient) 
installiert wird.

Alter Pfad: %Windows%\ncple 
Neuer Pfad: %Programme%\NCP\SecureClient

Bei einem Update wird weiterhin der Pfad genutzt, der bei der letzten 
Installation eingetragen war.


Deinstallation
--------------

Wenn Sie den Client deinstalliert haben, erhalten Sie die Mglichkeit Ihre 
Konfigurationen und Profil-Einstellungen im Installationsverzeichnis des Clients 
zu behalten. Wird zu einem spteren Zeitpunkt eine neuere Version des Clients im 
gleichen Verzeichnis installiert, so knnen diese persnlichen Daten wieder 
genutzt werden. Sollen die persnlichen Daten des Clients auch gelscht werden, 
so mssen Sie dies eigens besttigen. In diesem Fall werden restlos alle Daten 
und Verzeichnisse des Clients entfernt.


Registry-Reparatur (RegRep)
---------------------------

Bei jeder Neuinstallation des Clients, d. h. auch wenn eine ltere Version 
deinstalliert wurde, berprft das Setup-Programm die Registry-Eintrge. Werden 
problematische Eintrge gefunden, so werden sie bereinigt. Das Setup-Programm 
generiert dazu eine Meldung, wonach der PC neu gestartet werden sollte.



Installationsvoraussetzungen
--------------------------------------------------------------------------------

Betriebssystem:
Die Software kann auf Computern (min. 128 MB RAM) mit den Betriebssystemen 
Microsoft Windows XP, Windows Vista oder Windows 7 installiert werden. Halten 
Sie fr die Dauer der Installation die Datentrger fr das jeweils im Einsatz 
befindliche Betriebssystem bereit, um Daten fr die Treiberdatenbank des 
Betriebssystems nachladen zu knnen!

Zielsystem:
Das Zielsystem muss eine der folgenden Verbindungsarten untersttzen: ISDN, PSTN 
(analoges Modem), GSM, GPRS/UMTS, LAN over IP, WLAN oder PPP over Ethernet. 

Lokales System:
Eines der folgenden Kommunikationsgerte muss installiert sein.

* ISDN-Adapter (ISDN)
Der ISDN-Adapter muss die ISDN CAPI 2.0 untersttzen. Wenn Sie PPP Multilink 
nutzen, kann die Software bis zu 8 ISDN B-Kanle (je nach Kanalanzahl des 
Adapters) bndeln. Prinzipiell kann jeder ISDN-Adapter, der die ISDN-
Schnittstelle CAPI 2.0 untersttzt, eingesetzt werden. (Fr gewhnlich wird die 
CAPI bei der Installation eines ISDN-Adapters automatisch eingerichtet.)

* Analoges Modem (Modem)
Fr die Kommunikation ber Modem muss das Modem korrekt installiert sein, sowie 
Modem Init. String und COM-Port Definition zugewiesen sein. Das Modem muss den 
Hayes-Befehlssatz untersttzen.
Ebenso knnen Mobiltelefone fr die Datenkommunikation genutzt werden, nachdem 
die zugehrige Software installiert wurde, die sich fr den Client genauso 
darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy und PC kann 
die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth 
genutzt werden. Je nach bertragungsrate (GSM, V.110, GPRS oder HSCSD) muss die 
Gegenstelle ber die entsprechende Einwahlplattform verfgen. Der in die 
Modemkonfiguration des Secure Clients einzutragende Initialisierungs-String ist 
vom ISP oder dem Hersteller des Mobiltelefons zu beziehen. 

* LAN-Adapter (LAN over IP)
Um die Client-Software mit der Verbindungsart "LAN (over IP)" in einem Local 
Area Network betreiben zu knnen, muss zustzlich zum bereits installierten LAN-
Adapter (Ethernet) kein weiterer Adapter installiert werden. Die Verbindung der 
LAN-Clients ins WAN stellt ein beliebiger Access Router her. Einzige 
Voraussetzung: IP-Verbindung zum Zielsystem muss mglich sein. Die VPN-
Funktionalitt liefert die Client Software.
Adapter fr ein wireless LAN (WLAN-Adapter) werden genauso behandelt wie normale 
LAN-Adapter.

* xDSL (xDSL (PPPoE))
Die Verbindungsart PPP over Ethernet setzt voraus, dass eine Ethernet-Karte 
installiert und darber ein xDSL-Modem mit Splitter korrekt angeschlossen ist. 

* xDSL (AVM - PPP over CAPI)
Diese Verbindungsart kann gewhlt werden, wenn eine AVM Fritz! DSL-Karte 
eingesetzt wird. Im Feld "Rufnummer (Ziel)" in der Gruppe "Netzeinwahl" knnen 
fr die Verbindung ber CAPI noch AVM-spezifische Intitialisierungskommandos 
eingetragen werden. Unter Windows Betriebssystemen wird jedoch empfohlen den 
Standard "xDSL (PPPoE)" zu verwenden, da damit direkt ber die 
Netzwerkschnittstelle mit der Karte kommuniziert wird. Bei Verwendung der AVM 
Fritz! DSL-Karte wird keine separate zustzliche Netzwerkkarte bentigt.

* Multifunktionskarte (GRPS / UMTS / HSDPA / HSUPA)
Wird eine Mobilfunkdatenkarte eingesetzt, so knnen mit der Client Software 
spezielle Features des Mobile Computings unter Einbeziehung der 
Karteneigenschaften genutzt werden. Aufgrund der direkten Untersttzung einer 
Multifunktionskarte durch den Secure Client kann die Installation einer 
Management-Software von der eingesetzten Karte entfallen. 
Der NCP Secure Client vereint alle kommunikations- und sicherheitstechnischen 
Mechanismen fr eine wirtschaftliche Datenkommunikation auf Basis des Ende-zu-
Ende Sicherheitsprinzips. Der Client-Monitor verfgt ber optische Anzeigen 
aller Verbindungsstatus der Feldstrke, des selektierten Netzes und Providers. 
Ab der Version 9.02 Build 5 untersttzt der Secure Client nach Einspielen der 
Datei g3detect.dll neue PCMCIA-Funkkarten, die Sie bitte der neuesten 
Kompatibilittsliste entnehmen unter:
http://www.ncp-e.com/de/support/kompatibilitaeten/umts-3g-hardware.html

* WLAN-Adapter (WLAN)
Der WLAN-Adapter wird mit der Verbindungsart "WLAN" betrieben werden. Im 
Monitormen erscheint eigens der Menpunkt "WLAN-Einstellungen", worin die 
Zugangsdaten zum Funknetz in einem Profil hinterlegt werden knnen. Wird diese 
"WLAN-Konfiguration aktiviert", so muss das Management-Tool der WLAN-Karte 
deaktiviert werden. (Alternativ kann auch das Management-Tool der WLAN-Karte 
genutzt werden, dann muss die WLAN-Konfiguration im Monitormen deaktiviert 
werden.)
Wird die Verbindungsart WLAN fr ein Profil eingestellt, so wird unter dem 
grafischen Feld des Client-Monitors eine weitere Flche eingeblendet, auf der 
die Feldstrke und das WLAN-Netz dargestellt werden. 
Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum 
Mobile Computing.

* Automatische Medienerkennung
Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt der 
Client automatisch, welche Verbindungsarten aktuell zur Verfgung stehen und 
whlt davon die schnellste aus. 
Auf Grundlage eines vorkonfigurierten Profils wird automatisch die 
Verbindungsart erkannt und eingesetzt, die fr den Client-PC aktuell zur 
Verfgung steht, wobei bei mehreren alternativen bertragungswegen automatisch 
der schnellste gewhlt wird. In einer Suchroutine ist die Priorisierung der 
Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. DSL, 
4. UMTS/GPRS, 5. ISDN, 6. MODEM.
Die Konfiguration erfolgt mit der Verbindungsart "automatische Medienerkennung" 
in den "Grundeinstellungen" eines Profils. Alle fr diesen Client-PC 
vorkonfigurierten Profile zum VPN Gateway des Firmennetzes knnen dieser 
automatischen Medienerkennung, sofern gewnscht, zugeordnet werden (ber das 
Parameterfeld "Grundeinstellung"). Damit erbrigt sich die manuelle Auswahl 
eines Mediums (WLAN, UMTS, Netzwerk, DSL, ISDN, Modem) aus den Profilen. 
Die Eingangsdaten fr die Verbindung zum ISP werden fr den Anwender transparent 
aus den vorhandenen Profileintrgen bernommen.


Voraussetzungen fr Zertifikatsverwendung
--------------------------------------------------------------------------------

Untersttzte Schnittstellen und Formate

Der Secure Client kann in Public Key Infrastrukturen nach X.509 V.3 Standard 
eingesetzt werden und untersttzt folgende Schnittstellen / Formate:
- Smartcards, USB-Token: PKCS#11, TCOS 1.2 und 2.0, CSP
- Soft-Zertifikate: PKCS#12-Datei
- PC/SC-konforme Chipkartenleser: Die Client Software untersttzt alle 
Chipkartenleser, die PC/SC-konform sind. Diese Chipkartenleser werden in einer 
Liste des Clients aufgenommen, wenn der Leser angeschlossen und die zugehrige 
Treiber-Software installiert wurde.
- Automatische Erkennung des angeschlossenen PC/SC-Lesers: Ist fr das PKI-
Umfeld die Verwendung eines PC/SC Chipkartenlesers am Client konfiguriert, so 
erkennt und verwendet der Client automatisch den jeweils angeschlossenen.
- PKCS#11-Modul: Mit der Software fr die Smartcards oder den Tokens werden 
Treiber in Form einer PKCS#11-Bibliothek (DLL) mitgeliefert. Diese Treiber-
Software muss zunchst installiert werden. Anschlieend kann ber einen 
Assistenten das entsprechende PKCS#11-Modul selektiert werden.

CA-Zertifikate

Der Administrator des Firmennetzes legt fest, welchen Ausstellern von 
Zertifikaten vertraut werden kann. Dies geschieht dadurch, dass er die CA-
Zertifikate seiner Wahl in das Installationsverzeichnis unter <CACERTS> 
einspielt. Das Einspielen kann bei der Software-Distribution automatisiert 
stattfinden, wenn sich die Aussteller-Zertifikate bei der Installation der 
Software von einem Datentrger dort im Verzeichnis <DISK1> befinden. 
Nachtrglich knnen Aussteller-Zertifikate automatisch ber den Secure 
Management Server (nur zu Enterprise Clients) verteilt werden oder, sofern der 
Benutzer ber die notwendigen Schreibrechte in genanntem Verzeichnis verfgt, 
von diesem selbst eingestellt werden.
Derzeit werden die Formate *.pem und *.crt fr Aussteller-Zertifikate 
untersttzt. Sie knnen im Monitor unter dem Hauptmenpunkt "Verbindung / 
Zertifikate / CA-Zertifikate anzeigen" eingesehen werden.
Wird am Secure Client das Zertifikat einer Gegenstelle empfangen, so ermittelt 
der NCP Client den Aussteller indem er das Aussteller-Zertifikat, zunchst auf 
Smartcard bzw. USB-Token oder in der PKCS#12-Datei, anschlieend im 
Installationsverzeichnis unter <CACERTS> sucht. Kann das Aussteller-Zertifikat 
nicht gefunden werden, kommt die Verbindung nicht zustande. Sind keine 
Aussteller-Zertifikate vorhanden, wird keine Verbindung zugelassen. 
Werden Soft-Zertifikate mit dem PKI Plug-in des Management Servers erstellt, so 
wird das Aussteller-Zertifikat in der PKCS#12-Datei gespeichert.

Verwendung einer Sperrliste (CRL)

Zu jedem Aussteller-Zertifikat kann dem Secure Client die zugehrige CRL 
(Certificate Revocation List) zur Verfgung gestellt werden. Sie wird in das 
Installationsverzeichnis unter <CRLS> gespielt. Ist eine CRL vorhanden, so 
berprft der Secure Client eingehende Zertifikate daraufhin, ob sie in der CRL 
gefhrt sind. Der Client ldt die zugehrige CRL automatisch herunter wenn das 
eingehende Benutzer-Zertifikat des Servers die Zertifikatserweiterung CDP 
enthlt.
Werden Sperrlisten eingesetzt, so werden normalerweise dann keine Meldungen 
ausgegeben, wenn am Client keine Sperrliste fr eingehende Zertifikate 
hinterlegt ist. Soll in solchen Fllen dennoch eine Meldung ausgegeben werden, 
muss die Datei NCPPKI.CONF editiert werden. Sie befindet sich im Installations-
Verzeichnis. Der Standardeintrag im Abschnitt [General] lautet:
Enablecrlinfo = 0
Dies bewirkt, dass keine Meldungen ausgegeben werden, wenn zu einem Zertifikat 
der Gegenstelle keine Sperrliste am Client gefunden wird. Soll eine Meldung 
ausgegeben werden, so muss diese Einstellung abgendert werden auf:
Enablecrlinfo = 1


Installation der Software
--------------------------------------------------------------------------------

Die vorliegende Version und knftige Versionen des Clients werden von der 
Qualittssicherung nur noch fr die Windows-Betriebssysteme Windows XP, Windows 
Vista und Windows 7 getestet. Fr Windows 2000, Windows NT sowie Windows 98 oder 
lter kann somit keine Gewhr mehr fr die volle Funktionsfhigkeit der Client 
Software bernommen werden.

Sie knnen die Software in Form einer EXE-Datei als Download von der NCP- 
Internetseite unter www.ncp-e.com beziehen. Die Installation erfolgt fr die 
Betriebssysteme Windows XP, Vista und Windows 7 im Wesentlichen gleich.

Bitte achten Sie jedoch darauf, ob Sie von Festplatte, CD oder Diskette 
installieren.

Installation und Lizenzierung

Der NCP Secure Entry Client wird zunchst immer als Testversion installiert. 
Haben Sie eine Lizenz erworben, so knnen die Lizenzierungsdaten nach der 
Installation und einem Reboot im Monitor-Men "Hilfe / Lizenzinfo und 
Aktivierung" eingegeben werden. Sptestens in den letzten 10 Tagen vor Ablauf 
der 30-tgigen Gltigkeitsdauer der Testversion werden Sie im Client-Monitor 
daran erinnert, dass eine Lizenzierung vorgenommen werden muss, wenn die Client 
Software weiter verwendet werden soll. Bitte beachten Sie zur Lizenzierung die 
Beschreibung im Handbuchabschnitt zum Monitor-Menpunkt "Hilfe / Lizenzinfo und 
Aktivierung".

Installation von CD

Nachdem Sie die CD in das Laufwerk Ihres Computers eingelegt haben, erscheint 
nach einigen Sekunden automatisch die Begrungsmaske auf Ihrem Monitor. Sie 
whlen aus, welches Produkt Sie installieren mchten und klicken anschlieend 
auf "Installieren". Das weitere Verfahren ist mit der Installation von 
Wechseldatentrger ab "Whlen der Setup-Sprache" identisch.

Standard-Installation
...............................................................................

Speichern Sie die ZIP-Datei, die Sie mit einem Download erhalten haben auf der 
Festplatte. Der Dateiname der Datei beinhaltet Versions- und Build-Nummer der 
Software, z. B.:
SecEntryClientWin9_10_048.ZIP
Kopieren Sie aus der ZIP-Datei das Verzeichnis <Disk1> auf die Festplatte. 
Whlen Sie im Windows-Hauptmenu "Start / Einstellungen / Systemsteuerung". In 
der Windows-Systemsteuerung whlen Sie "Software" oder "Neue Programme 
hinzufgen". Klicken Sie dann auf den Button zum Installieren von CD oder 
Diskette. Im daraufhin erscheinenden Fenster klicken Sie auf "Durchsuchen", um 
die SETUP.EXE-Datei Ihrer Software im Verzeichnis <Disk1> zu suchen. Wenn sie 
angezeigt wird, klicken Sie auf "Fertigstellen".

Im folgenden Fenster knnen Sie die Setup-Sprache auswhlen. Klicken Sie danach 
auf "OK". Anschlieend bereitet das Setup-Programm den Install-Shield 
Assistenten vor, mit dessen Hilfe die Installation fortgesetzt wird. 

Lesen Sie bitte die Hinweise im Willkommen-Fenster des Setup-Programms bevor Sie 
auf "Weiter" klicken. 

Anschlieend werden die Lizenzbedingungen gezeigt. Stimmen Sie dem Vertag mit 
"Ja" zu, sonst wird die Installation abgebrochen.

Standard-Installationsverzeichnis ist: Programme\NCP\SecureClient
(Unter Windows Vista kann auch "Program Files\NCP\SecureClient" angezeigt 
werden.)

Unabhngig von Standard- oder benutzerdefinierter Installation knnen Sie einen 
beliebigen Zielordner fr die Software whlen, wenn Sie "Durchsuchen" anklicken. 
Dies ist insbesondere dann wichtig, wenn der Benutzer keine Rechte auf das 
System-Root-Verzeichnis hat. 

Wenn Sie eine "Standard" Installation vornehmen, ist das Setup mit diesem 
Fenster abgeschlossen.

Nehmen Sie eine "Benutzerdefinierte Installation" vor, so knnen Sie weitere 
Einstellungen vornehmen.

Im folgenden Fenster der "Benutzerdefinierten Installation" bestimmmen Sie den 
Programmordner fr die Client Software. (Standard ist "NCP Secure Client"). 
Auerdem kann das Programm-Icon auf dem Desktop angezeigt werden. 

Zu den weiteren Einstellungen bezglich Ihres Kommunikations-Gateways sind 
nhere Informationen von Ihrem Administrator oder Internet Service Provider 
ntig. Mit DHCP (Dynamic Host Control Protocol) zu kommunizieren, bedeutet, dass 
Sie fr jede Session automatisch eine IP-Adresse zugewiesen bekommen. In diesem 
Fall klicken Sie auf "IP-Adresse wird von Server vergeben". Wenn Sie die "IP-
Adresse selbst festlegen", geben Sie in diesem Fenster die IP-Adressen ein. 
Bitte beachten Sie: Ist bereits eine Netzwerkkarte mit Default Gateway 
installiert, so muss der Eintrag "Default Gateway" hier gelscht werden. Es darf 
nur eine Netzwerkkarte mit Default Gateway installiert sein. Die DNS-Adresse 
bitte nur eintragen, wenn Sie sie von Ihrem Provider oder Systemadministrator 
zur Verfgung gestellt bekommen haben.

Sie knnen anschlieend entscheiden, ob vor dem Windows-Logon an einer remote 
Domain die Verbindung zum VPN Gateway aufgebaut werden soll. Fr diesen 
Verbindungsaufbau mssen Sie gegebenenfalls die PIN fr ihr Zertifikat und das 
(nicht gespeicherte) Passwort fr die Client Software eingeben. Nachdem die 
Verbindung zum NAS hergestellt wurde, knnen Sie sich an die remote Domain 
anmelden. Diese Anmeldung erfolgt dann bereits verschlsselt ber den VPN-
Tunnel.

Bitte beachten Sie: Aktivieren Sie diese Option vor dem Windows Logon, so wird 
hiermit automatisch die NCP Gina installiert. Nur wenn die NCP Gina - wie in 
diesem Setup-Fnenter mglich - nach der Windows Gina installiert ist, knnen die 
Logon-Optionen auch genutzt werden. Diese Logon-Optionen knnen ber das 
Monitormen des Clients unter "Konfiguration" gesetzt werden.

Wird die Logon-Option hier nicht aktiviert, und soll sie jedoch zu einem 
spteren Zeitpunkt genutzt werden, so kann die NCP Gina nach diesem Setup mit 
dem Kommando rwscmd / ginainstall dauerhaft installiert werden. Beachten Sie 
dazu die Beschreibung "Secure Client Services" im Anhang des Handbuchs.

Danach werden die Dateien der Client Software eingespielt und die 
Netzwerkkomponenten installiert. 

Damit ist die Installation der Client Software abgeschlossen. Die neuen 
Einstellungen werden erst wirksam, wenn Sie den Computer neu starten. Klicken 
Sie "Ja, Computer jetzt neu starten" und bettigen Sie den Beenden-Button, um 
Ihr System zu booten. 


Assistent fr erste Konfiguration 
--------------------------------------------------------------------------------

Nachdem Sie die Software installiert haben und zum Abschluss der Installation 
den Rechner gebootet haben, wird der Client Monitor automatisch nach dem Booten 
geladen. Auerdem wird automatisch der "Assistent fr die erste Konfiguration" 
gestartet - vorausgesetzt, Sie haben den Secure Client zum ersten Mal 
installiert oder die Profil-Einstellungen ncpphone.cfg gelscht. Sie befinden 
sich im Installationsverzeichnis.

Wenn Sie keine Test-Verbindungen anlegen und den "Assistent fr erste 
Konfiguration" abbrechen, erstellen Sie die ersten Profil-Einstellungen wie im 
Handbuch zum Client Monitor beschrieben.

Nutzen Sie den "Assistent fr erste Konfiguration", so klicken Sie auf den 
Button "Weiter". Dann legt der Assistent nach der Vorgabe Ihrer Daten ein Profil 
fr eine IPsec-Testverbindung im Telefonbuch an. Dafr werden folgende 
Zugangsdaten automatisch gesetzt: VPN-Protokoll ist IPsec, der Tunnel-Endpunkt 
des Ziel-Gateways ist: vpntest.ncp-e.com, als XAUTH-Benutzername und XAUTH-
Passwort wird "ncpIPsecnative" eingetragen. Der DNS-Server hat die Adresse 
172.16.12.100. Als Verbindungsart wird LAN genutzt. 

Soll eine Verbindung ber einen ISP hergestellt werden, so mssen zuerst die 
Einwahl-Parameter in den Profil-Einstellungen der Testverbindung entsprechend 
konfiguriert werden. Wenn Sie die Strong Security-Variante des Clients testen 
wollen, knnen Sie dafr ein mitgeliefertes Testzertifikat nutzen.

Die PIN fr das Testzertifikat lautet "1234" und muss bei Verbindungsaufbau 
eingegeben werden. Nachdem die Testkonfiguration angelegt wurde, kann sofort 
eine Test-Verbindung aufgebaut werden (sofern die Verbindung im LAN-Modus 
stattfindet.) Klicken Sie dazu den Test-Button an.

Soll die Testverbindung ber eine andere Verbindungsart als LAN erfolgen, so 
beachten Sie bitte zur weitergehenden Konfiguration eines Profils die 
Beschreibungen unter "Client Monitor, Profil-Einstellungen" und 
"Konfigurationsparameter, IPsec-Einstellungen".


Tests mit dem Entry Client
--------------------------------------------------------------------------------

Wenn Sie die Testverbindung hergestellt haben und der Tunnel zum VPN Gateway 
aufgebaut ist, knnen die folgenden Tests durchgefhrt werden.


Testen mit Ping

Geben Sie in einer DOS-Kommandozeile folgendes ein:
C:\>ping 172.16.12.100 (<ENTER>)

Bei erfolgreichem Ping sehen Sie folgende oder hnliche Ausgaben:

Reply from 172.16.12.100: bytes=32 time=109ms TTL=128
Reply from 172.16.12.100: bytes=32 time=96ms TTL=128
Reply from 172.16.12.100: bytes=32 time=82ms TTL=128
Reply from 172.16.12.100: bytes=32 time=69ms TTL=128

Im Monitor werden die versendeten (Tx) und die empfangenen (Rx) Bytes angezeigt.


Testen mit FTP

Ihre Zugangsdaten:
IP-Adresse       :  172.16.12.100
Benutzer         :  anonymus

Geben Sie dazu in einer DOS-Kommandozeile folgendes ein:
C:\>ftp 172.16.12.100
Verbindung mit 172.16.12.100 wurde hergestellt
220 (vsFTPd 2.0.4)
Benutzer (172.16.12.100:(none)): anonymus
230 Login successful
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
SecEntryCl_Linux_de.pdf
SecEntryCl_WinCe_de.pdf
SecEntryCl_WinCe_en.pdf
SecEntryCl_Win_de.pdf
SecEntryCl_Win_en.pdf
226 Directory send OK.
FTP: 64d Bytes empfangen in 0,00Sekunden 407000,00KB/s
ftp> close
ftp> quit


Testen der Web-Funktionalitt

Nachdem Sie eine Testverbindung aufgebaut haben, geben Sie an Ihrem geffneten 
Web-Browser folgende Adresse ein:
172.16.12.100
anschlieend erhalten Sie die NCP-Website auf Ihrem Bildschirm.


Aktivierung
--------------------------------------------------------------------------------

Im Monitormen "Hilfe" wird unter dem Menpunkt "Lizenzinfo und Aktivierung" die 
eingesetzte installierte Software-Version und gegebenenfalls die lizenzierte 
Software-Version mit Seriennummer angezeigt.

Die Client-Software wird zunchst immer als Testversion installiert, sofern noch 
keine Client-Software installiert wurde oder aber mit einer bereits 
installierten lteren Version noch keine Software-Aktivierung stattgefunden hat. 
Dies gilt auch fr den Fall, wenn die ltere Version bereits lizenziert wurde - 
dann nmlich wird diese Version auf den Status einer Testversion zurckgesetzt, 
und die Lizenzdaten mssen innerhalb von 30 Tagen nochmals ber den 
Aktivierungs-Dialog eingegeben werden.

Die verbliebene Zeitdauer bis zur Software-Aktivierung, d.h. die 
Gltigkeitsdauer der Testversion, wird in der Hinweisleiste des Monitors neben 
dem Aktivierungs-Button angezeigt.

Um eine zeitlich unbegrenzt gltige Vollversion nutzen zu knnen, muss die 
Software mit dem erhaltenen Lizenzschlssel und der Seriennummer im 
Aktivierungs-Dialog freigeschaltet werden. Mit der Aktivierung akzeptieren Sie 
die Lizenzbedingungen, die Sie nach einem Klick auf den entsprechenden Button 
einsehen knnen.

Der Aktivierungs-Dialog kann sowohl ber den Aktivierungs-Button in der 
Hinweisleiste des Monitors als auch ber das Monitormen "Hilfe / Lizenzinfo und 
Aktivierung" geffnet werden. Im folgenden knnen die Lizenzdaten wahlweise 
online oder offline ber einen Assistenten eingegeben werden.

In der Offline-Variante muss eine Datei, die nach Eingabe von Lizenzschlssel 
und Seriennummer erzeugt wird, an den NCP Web Server geschickt werden und der 
daraufhin auf der Website angezeigte Aktivierungsschlssel notiert werden. 
Dieser Aktivierungsschlssel kann zu einem spteren Zeitpunkt im 
Lizenzierungsfenster des Monitormens eingegeben werden.

In der Online-Variante werden die Lizenzierungsdaten ber einen Assistenten 
unmittelbar nach Eingabe an den Web Server weitergegeben und die Software damit 
unverzglich freigeschaltet.

Gltigkeitsdauer der Testversion

Die Gltigkeitsdauer der Testversion betrgt 30 Tage. Ohne Software-Aktivierung 
bzw. Lizenzierung ist nach dieser Zeitspanne kein Verbindungsaufbau mehr 
mglich.

Ab dem Zeitpunkt der Installation wird bei jedem Start der Software die 
Gltigkeitsdauer im Popup-Fenster angezeigt. Darber hinaus wird in einer 
Fuzeile des Monitors eingeblendet wie lange die Testversion noch verwendet 
werden kann. In einer Message-Box wird ab der verbliebenen Zeitspanne der 
Gltigkeit von 10 Tagen, nachdrcklich darauf aufmerksam gemacht, dass die 
Software noch nicht lizenziert ist. Diese Message-Box erscheint einmalig pro 
Tag.

Ist die Testphase abgelaufen, knnen mit der Entry Client Software nur noch 
Verbindungen zu Zielsystemen aufgebaut werden, die der Software-Aktivierung/- 
Lizenzierung dienen. So kann eines der Profile des Entry Clients dazu verwendet 
werden, eine Internet-Verbindung zum Zweck der Lizenzierung aufzubauen

Wichtig:

Die Installation unter Betriebssystem Windows 7 erfordert einen Lizenzschlssel 
der Version 9.2. 
Im Falle eines Windows Updates von Windows Vista auf Windows 7 lsst sich bei 
einem installierten Client der Version 9.2 (mit einem Lizenz-Schlssel der 
Version 9.1) der Monitor nur zum Zweck der Eingabe eines Lizenzschlssels der 
Version 9.2 starten.

Die Aktivierung der Client Software unter Windows Vista setzt voraus, dass Sie 
ber einen Lizenzschlssel verfgen, der mindestens der Version 9.0 entspricht. 
Sofern Ihnen ein kostenfreies Update auf die Version 9.0 zur Verfgung steht, 
erhalten Sie den zugehrigen Lizenzschlssel, wenn Sie eine Software-Aktivierung 
durchfhren. Fr ein kostenpflichtiges Update auf die Version 9.0 wenden Sie 
sich bitte an Ihren Reseller.


Software-Aktivierung
--------------------------------------------------------------------------------

Sptestens wenn die Testphase abgelaufen ist, muss die Software aktiviert oder 
deinstalliert werden. 

Zur Aktivierung selektieren Sie im Monitormen "Hilfe" den Menpunkt "Lizenzinfo 
und Aktivierung". Sie knnen hier ablesen um welche Software-Version es sich 
handelt und wie die Software lizenziert ist, d.h. dass die Testversion 
abgelaufen und die Software noch nicht aktiviert/lizenziert ist.

Mit Klick auf die Lizenzbedingungen wird der entsprechende Vertragstext 
eingeblendet. Mit der Aktivierung/Lizenzierung der Software akzeptieren Sie die 
Lizenzbedingungen.

Zur Aktivierung der Software klicken Sie auf den Button "Aktivierung". Im 
folgenden Fenster knnen Sie zwischen einer Online- und einer Offline-Variante 
whlen.

In der Offline-Variante muss eine Datei, die nach Eingabe von Lizenzschlssel 
und Seriennummer erzeugt wird, an den NCP Web Server geschickt werden und der 
daraufhin auf der Website angezeigte Aktivierungsschlssel notiert werden. In 
der Online-Variante werden die Lizenzierungsdaten ber einen Assistenten 
unmittelbar nach Eingabe an den Web Server weitergegeben und die Software damit 
unverzglich freigeschaltet.

Nach der Wahl der Aktivierungsart werden die Lizenzdaten in die dafr 
vorgesehenen Felder eingetragen. Klicken Sie anschlieend auf "Weiter".


Online-Variante

Bei der Online-Aktivierung werden die Lizenzdaten ber eine Internetverbindung 
zum NCP Aktivierungs-Server bertragen. Diese Internetverbindung kann entweder 
ber den DF-Dialer oder DSL hergestellt werden oder ber den Entry Client.

Soll die Internetverbindung nicht ber den Entry Client hergestellt werden, so 
muss die Verbindung zunchst hergestellt werden, um anschlieend ber das 
Monitormen "Hilfe / Lizenzinfo und Aktivierung" den Aktivierungs-Assistenten zu 
starten.

Soll der Entry Client zum Verbindungsaufbau ins Internet genutzt werden, so muss 
zunchst ein geeignetes Profil fr den Entry Client hergestellt werden. Dabei 
ist darauf zu achten, dass bei aktivierter Firewall der Port 80 (fr HTTP) 
freigeschaltet ist. (Sollte ein Proxy Server im Betriebssystem konfiguriert 
sein, knnen dessen Einstellungen nach Klick auf "Proxy-Einstellungen" 
bernommen werden.) Nachdem das Profil selektiert wurde, klicken Sie auf 
"Weiter".

Die Internetverbindung ber den Entry Client muss nicht eigens vor der 
Aktivierung aufgebaut werden. Sie wird automatisch aufgebaut, nachdem das 
gewnschte, bestehende Profil im Assistenten fr Software-Aktivierung ausgewhlt 
wurde und der Button "Weiter" angeklickt wird. Die Software-Aktivierung erfolgt 
automatisch in der angegebenen Reihenfolge:

Sobald der Aktivierungs-Server erkennt, dass Ihnen eine neuere Software-Lizenz 
zusteht und der Lizenzschlssel zur installierten Software passt, wird mit der 
Online-Aktivierung automatisch der neue Lizenzschlssel bertragen (Lizenz-
Update) und damit die neuen Features der Software freigeschaltet. Bitte beachten 
Sie dazu den Abschnitt "Updates" am Ende dieses Kapitels.

Nach Abschluss der Aktivierung kann im Fenster fr die Lizenzdaten abgelesen 
werden, dass es sich bei der eingesetzten Software um eine korrekt aktivierte 
Vollversion handelt.

Die Nummer der Software-Version und der lizenzierten Version sollten 
bereinstimmen, ansonsten muss mit einem neueren Lizenzschlssel die Lizenz 
aktualisiert werden. Dazu klicken Sie den Button "Lizenzierung". Beachten Sie 
dazu auch die Beschreibung am Ende der Offline-Variante.


Offline-Variante

Die Offline-Variante wird in zwei Schritten durchgefhrt. Im ersten Schritt muss 
eine Datei, die nach Eingabe von Lizenzschlssel und Seriennummer erzeugt wird, 
an den NCP Web Server geschickt werden. Die URL lautet:
http://www.ncp-e.com/de/support/software-aktivierung.html

Auf der Website wird daraufhin ein Aktivierungsschlssel angezeigt, der notiert 
werden muss, um im zweiten Schritt, der auch zu einem spteren Zeitpunkt 
vorgenommen werden kann, im Lizenzierungsfenster des Monitormens eingegeben 
werden zu knnen.

Die Offline-Variante wird ber das Monitormen "Hilfe / Lizenzinfo und 
Aktivierung" gestartet und im ersten Fenster des Aktivierungs-Assistenten 
selektiert. Klicken Sie auf "Weiter". Im zweiten Fenster des Aktivierungs-
Assistenten werden die beiden Schritte der Offline-Aktivierung erklrt. Der 
erste Schritt, die Erstellung der Aktivierungsdatei, ist automatisch selektiert. 
Klicken Sie auf den Button mit "Weiter" und geben Sie im folgenden Fenster die 
Lizenzdaten ein. Klicken Sie "Weiter".

Geben Sie nun Name und Pfad fr die Aktivierungsdatei ein (z. B. auf dem 
Desktop). Standardmig wird das Installationsverzeichnis der Software und der 
Name ActiData.txt (mit Seriennummer) eingesetzt.

Nun wird die Aktivierungsdatei erstellt, die an den Aktivierungs-Server 
bergeben werden muss. Dazu muss die NCP Website aufgerufen werden:
http://www.ncp-e.com/de/support/lizenz-update.html

Die Datenbergabe von der Aktivierungsdatei an den Aktivierungs-Server kann auf 
zweierlei Weise erfolgen. Entweder kopieren Sie den Inhalt der Aktivierungsdatei 
mit Copy&Paste, nachdem Sie die Aktivierungsdatei mit dem Notepad geffnet 
haben, in das auf der Website geffnete Fenster "Inhalt der Aktivierungsdatei" 
oder Sie klicken auf den Button "Durchsuchen" und selektieren die 
Aktivierungsdatei. Anschlieend klicken Sie auf "Absenden".

Daraufhin wird der Aktivierungs-Code generiert und auf der Website angezeigt. 
Notieren Sie sich den Aktivierungs-Code und setzen Sie die Aktivierung fort 
unter dem Menpunkt "Hilfe / Lizenzinfo und Aktivierung", indem Sie in der 
Offline-Variante den zweiten Schritt der Aktivierung ausfhren.

Sollte der Aktivierungs-Server erkennen, dass Ihnen eine neuere Software-Lizenz 
zusteht und der Lizenzschlssel zur installierten Software passt, wird mit der 
Aktivierung automatisch der neue Lizenzschlssel angezeigt. Wenn Sie die neuen 
Features aktivieren mchten, notieren Sie sich den neuen Lizenzschlssel, fhren 
Sie die Aktivierung zu Ende und verwenden anschlieend den neuen 
Lizenzschlssel.

Der zweite Schritt der Offline-Variante wird ber das Monitormen "Hilfe / 
Lizenzinfo und Aktivierung" angestoen. Nachdem die Offline-Variante gewhlt 
wurde, selektieren Sie den zweiten Schritt. Daraufhin ffnet sich ein Fenster 
des Aktivierungs-Assistenten zur Eingabe des Aktivierungs-Codes. Wenn Sie ihn 
eingetragen haben, knnen Sie "Weiter" klicken.Mit dem folgenden Fenster wird 
die Offline-Aktivierung abgeschlossen.

Nach Abschluss der Aktivierung kann im Fenster fr die Lizenzdaten abgelesen 
werden, dass es sich bei der eingesetzten Software um eine korrekt aktivierte 
Vollversion handelt.

Die Nummer der Software-Version und der lizenzierten Version knnen sich 
unterscheiden, sofern die Lizenzierung nur fr eine ltere Version gltig ist.

Sollten Sie vom Aktivierungs-Server whrend der Offline-Aktivierung einen neuen 
Lizenzschlssel erhalten haben (siehe oben bei Anzeige des Aktivierungs-Codes), 
so geben Sie diesen Lizenzschlssel fr ein Lizenz-Update ein, indem Sie den 
Button "Lizenzierung" klicken.

In dem folgenden Fenster des Assistenten geben Sie den neuen Lizenzschlssel ein 
und klicken auf "Weiter". Die Lizenzdaten werden geprft und bernommen. Klicken 
Sie "Fertigstellen" wenn die Prfung abgeschlossen ist.

Im Fenster mit den Lizenzdaten sehen Sie nun, dass die Nummer der Software-
Version und der lizenzierten Version bereinstimmen.

Auf Updates prfen

Unter dem Menpunkt "Auf Updates prfen", im Monitormen unter "Hilfe", kann 
geprft werden, ob bei NCP eine neuere Software vorliegt, als die von Ihnen 
installierte. Dies ist auch dann mglich, wenn eine Testversion installiert 
wurde. Liegt eine neuere Version bei NCP vor, so ist immer ein Sofware-Update 
mglich.

Das Software-Update ist immer dann kostenpflichtig, wenn es sich bei der neueren 
Version um ein Major Release handelt, erkennbar an der nderung der ersten 
Dezimalstelle hinter dem Komma. Zum Beispiel: Ist eine Version 8.26 installiert 
und die nchste Software-Version hat die Nummer 8.3, so ist ein Software-Update 
von 8.26 auf 8.3, sowie insbesondere die Nutzung der neuen Features, 
kostenpflichtig. Die neuen Features knnen nur genutzt werden, wenn die neue 
Software nach Installation mit einem neuen Lizenzschlssel aktiviert wurde, wie 
oben unter Software-Aktivierung beschrieben. Der neue Lizenzschlssel wird 
erzeugt, indem Seriennummer und Update-Schlssel, der ber den Reseller vorort 
erworben werden kann, auf folgender Website eingetragen werden:
http://www.ncp-e.com/de/support/lizenz-update.html

Das Software-Update ist immer dann kostenfrei, wenn es sich bei der neueren 
Version um ein Service Release handelt, erkennbar an der nderung der zweiten 
Dezimalstelle hinter dem Komma. Zum Beispiel: Ist eine Version 8.26 installiert 
und die nchste Software-Version hat die Nummer 8.27, so ist ein Software-Update 
von 8.26 auf 8.27, sowie insbesondere die Nutzung der neuen Features, 
kostenfrei. Die neuen Features knnen ohne Aktivierung durch einen 8.2x 
Lizenzschlssel genutzt werden, sobald die neue Software installiert wurde. Ein 
Service Release beinhaltet unter anderm Bugfixes, eine Erweiterung der Hardware-
Untersttzung und Kompatibilittserweiterungen.


Software-Updates

Nachdem Sie den Menpunkt "Auf Updates prfen" selektiert haben, ffnet sich der 
Assistent fr Software-Updates. Er hilft Ihnen bei der Suche nach neu 
verfgbarer Software. Um auf neue Updates prfen zu knnen, bentigen Sie eine 
Verbindung ins Internet. Soll der Entry Client zum Verbindungsaufbau ins 
Internet genutzt werden, so ist darauf zu achten, dass bei aktivierter Firewall 
der Port 80 (fr HTTP) freigeschaltet ist.

Sollte ein Proxy Server im Betriebssystem konfiguriert sein, knnen diese 
Einstellungen bernommen werden. Wenn die Proxy-Einstellungen korrekt 
konfiguriert sind, klicken Sie auf "OK". Der Assistent sucht nun ber die 
Internet-Verbindung nach neu verfgbaren Software-Updates.

Steht ein Software-Update zur Verfgung, wird es angezeigt. (Dabei kann sich 
eine Version auch nur durch die Build-Nummer unterscheiden.) Klicken Sie auf 
"Weiter", wenn Sie die aktuellere Software nutzen wollen. Damit wird das 
Installationspaket fr die neueste Software heruntergeladen.

Mit Klick auf "Fertigstellen" wird der Assistent beendet und die Installation 
des Software-Updates gestartet.

Nach Start des Installshield Wizzard whlen Sie wie bei der Standardinstallation 
die Installationssprache und beantworten anschlieend die Update-Frage mit "Ja". 
Danach wird die Installation automatisch durchgefhrt. Sie ist abgeschlossen, 
wenn Sie den Rechner neu gestartet haben.


Update und Deinstallation

Wenn bei der Installation eine ltere Version der Client Software gefunden wird, 
haben Sie die Mglichkeit, ein Update durchzufhren. Die Profil-Einstellungen, 
Zertifikate und die Verbindungssteuerung werden bei einem Update in der frher 
gemachten Konfiguration beibehalten. (Sollten noch andere Programme laufen, 
werden diese nun gestoppt.)

Um die Client Software zu entfernen, gehen Sie zu: "Start / Einstellungen / 
Systemsteuerung". Klicken Sie nun auf "Software" und whlen Sie den Client aus 
der Liste. Klicken Sie dann auf den Button mit "Hinzufgen/Entfernen". Das 
Uninstall Shield Programm lscht nun die Client Software von Ihrem PC.

Wichtig: Nachdem die Komponenten entfernt wurden, sind die Profil-Einstellungen 
des Clients erhalten geblieben, so dass sie fr neuere Versionen des Clients 
genutzt werden knnen. Um die Dateien vollstndig vom PC zu lschen, mssen Sie 
sie per Hand aus dem Installations-Verzeichnis lschen.


Upgrade auf den Secure Enterprise Client

Ein Upgrade von einem Secure Entry Client auf einen Secure Enterprise Client 
erfolgt dadurch, dass die Lizenzierung und die Software erneuert werden. Dies 
kann sowohl manuell vor Ort oder auch ber einen Update Server erfolgen.

Beim manuellen Upgrade wird die Software von CD erneut installiert, wobei als zu 
installierendes Produkt "NCP Secure Enterprise Client" eingegeben wird. Dabei 
erkennt das Installationsprogramm, dass bereits eine Software-Version 
installiert ist und fhrt nach entsprechender Besttigung ein Update durch. 
Anschlieend muss im Popup-Men der neue Aktivierungsschlssel mit Seriennummer 
eingegeben werden.

Bei einem Upgrade ber einen Update Server wird im Telefonbuch des Clients die 
IP-Adresse des Update Servers eingetragen. Bei der nchsten Einwahl in das 
Firmennetz wird die Secure Client Software automatisch herunter geladen. Bei 
einer erneuten Anwahl mit dieser neuen Software wird eine CNF-Datei (Profil-
Einstellungen) mit Lizenzierungsschlssel herunter geladen. Damit ist das 
Upgrade abgeschlossen.

===============================================================================
NCP engineering GmbH, November 2009
