FAQs: Certificates

Der Menüpunkt "Content Decryption" ist in folgenden Programmen

  • easyDCP Creator+
  • easyDCP Playert+
  • easyDCP KDM Generator+

The Auswahl

(File ->) Content Decryption -> Export Public Server Certificate

kopiert das öffentliche Zertifikat (easydcpcreator_.cert.sha256.crt) und die Signaturkette (easydcpcreator_.chain.sha256.pem) in den ausgewählten Ordner. Die Signaturkette enthält das Zertifikat, Zwischenzertifikate und das Stammzertifikat. Sie können dieses Zertifikat an einen Partner weiterleiten, die eine (D)KDM für Ihre easyDCP + Anwendung erstellen können/möchten.

Für die Weiterverarbeitung in Ihrem eigenem easyDCP KDM Generator+ reicht es auch aus, nur die Zertifikatsdatei (easydcpcreator_.cert.sha256.crt) zu verwenden.

Hinweis: Jede easyDCP Anwendung hat eigene Server Zertifikate. KDMs die für eine easyDCP Anwendung erstellt wurden, können nicht in einer anderen easyDP Anwendung verwendet werden.

DKDMs werden verwendet um verschlüsselte DCPs zwischen Postproduktionen auszutauschen. Um DKDMs zu verarbeiten werden die gleichen Sicherheitsverfahren wie bei der Herstellung und Verarbeitung von KDMs für das digitale Kino angewendet.
easyDCP Creator+ ermöglicht die Verschlüsselung von digitalen Kino-Dateien und der mitgelieferte easyDCP KDM Generator stellt KDMs und DKDMs für die Weitergabe von digitalen Kino-Dateien an Postproduktionen oder Kinos her.

Weitere Informationen finden Sie hier:

Für die automatisierte Generierung und Verteilung von KDMs steht Ihnen unter www.dcptools.com das KDM Studio zur Verfügung.
KDM Studio ist vom DCPtools Team auf Basis des easyDCP KDM Generator+ entwickelt worden. 

Print this page as document

Recommendation: security backup for (D)KDMs

Affects all Users of easyDCP KDM Generator+

 

This page contains:

1 Licenses and Certificates

2 Threat of loss of all (D)KDMs caused by hardware change / fault

3 Create a Backup machine using a Complimentary License

4 Workflow Description

4.1 Standard (D)KDM Generation Process

4.2 Recommended Workflow utilizing a Backup Unit (BU)

4.3 Using the Backup Unit to recover (D)KDMs

5 How to activate your complementary license for easyDCP KDM Generator+ Backup

 

1 Licenses and Certificates

In order to run properly, each installation of easyDCP KDM Generator+ needs three different sets of files issued separately for each installation:

  1. License – enables all commercial features
  2. Signer Certificates – required to digitally sign (D)KDMs issued with the software
  3. Server Certificates – An identification of the particular hardware easyDCP KDM Generator+ is installed on. (D)KDMs are issued for certain Server Certificates

During the activation process all of those files are generated using appropriate functions in the easyDCP web shop at http://www.easyDCP.com. Licenses and Server Certificates are bound to the particular hardware easyDCP KDM Generator+ is running on. Signer certificates are not tied to the hardware.

 

2 Threat of loss of all (D)KDMs caused by hardware change / fault

Important: If some hardware components in the production machine are changed or the machine stops operating at all, the license and server certificates will not work anymore. Using the migration function in the easyDCP web shop, a license can be ported to another machine. However, a server certificate cannot be used on another hardware. Likewise, it is not possible to re-use the certificates if certain hardware components get replaced on the system. And once the server certificates cannot be used anymore.

ALL (D)KDMs ISSUED FOR THESE SERVER CERTIFICATES ARE LOST AND CANNOT BE RECOVERED.

 

3 Create a Backup machine using a Complimentary License

We recommend our easyDCP KDM Generator+ customers to set-up a second computer serving as backup machine for their (D)KDMs. If used properly, existing (D)KDMs can be recovered and ported to a fresh installation, in case the production machine is not working anymore. The set-up is simple and your existing (D)KDM workflow requires only small changes.

  1. Every easyDCP KDM Generator+ client gets a complimentary license for a second installation of the software (called the Backup Unit - BU)
  2. From now on, we recommend to issue a backup DKDM for the Backup Unit once you receive a (D)KDM for your production system. For this, it is important that the Backup Unit must be installed on another physical hardware.
  3. Once the production machine stops working for some reason, all (D)KDMs can be recovered using the Backup Unit.

NOTE: You can use your existing easyDCP KDM Generator+ instance to issue backup-(D)KDMs of your existing (D)KDMs for your new backup easyDCP KDM Generator+ instance. This is a one-time-only job and should be performed as soon as possible.

 

4 Workflow Description

This chapter gives an overview over the recommended workflow when using two instances of easyDCP KDM Generator+ in parallel.

Figure 1 shows a block diagram comprising two activated instances of the software, both identified by their Server Certificate. As mentioned above, the Server Certificate is bound to a specific hardware and installation of the operating system and cannot be used on another installation.

Figure 1: Two activated instances of easyDCP KDM Generator+ running on different hardware

 

4.1 Standard (D)KDM Generation Process

Figure 2 shows one of the common applications using easyDCP KDM Generator+. Here, the Main Unit (MU) receives certain input data:

  1. A (D)KDM or easyDCP Digest from either the previous DCP compiling step or from another facility (step 1). An input (D)KDM can only be processed if it has been issued to the Server Certificate of the MU (compare Figure 1).
  2. Certificates from various Cinema Servers that serve to identify the output (D)KDM’s recipients (step 2).

Figure 2: Standard KDM generation process using one installation of easyDCP KDM Generator+

As result easyDCP KDM Generator+ generates a batch of KDMs for the selected Cinema Servers (step 3).

 

4.2 Recommended Workflow utilizing a Backup Unit (BU)

Based on the workflow described above, we recommend generating a Backup DKDM for the Backup Unit (BU) shown in Figure 1 whenever a new key is used as input format (step 1). Basically, the processing-steps are identical to the description given in 4.1, but instead of only ingesting certificates from the Cinema Servers we also point our Main Unit of easyDCP KDM Generator+ to the Server Certificate of our Backup Unit (Figure 3, step 2). By doing this, easyDCP KDM Generator+ issues a Backup DKDM that can be read from the Backup Unit later. In case the MU is not available anymore, the Backup KDM can be used to recover the original keys that were used to encrypt the DCP.

Figure 3: KDM Generation Process using the Backup Unit (BU)

 

4.3 Using the Backup Unit to recover (D)KDMs

In case of a hardware crash or when the system components used to assemble the Main Unit’s system hash change, it is possible that the Server Certificates of the Main Unit cannot be accessed anymore. In this case it is possible to move the main unit onto a new hardware or issue a new set of license and certificates for the new configuration of the main unit. In any case, the previous Main Unit’s Server Certificates must be replaced. Through the easyDCP-web shop it is possible to get new licenses and certificates on the fly. Indeed, none of the old (D)KDMs of the former Main Unit (MU) will work with the new installation, called New Main Unit (NMU) here, since the new Main Unit is identified by a new Server Certificate. In order to get (D)KDMs working on the NMU it is necessary to use the BU as shown in Figure 4. Please note that the BU of KDM Generator+ is used instead of the MU.

Figure 4: Issuing DKDMs for the New Main Unit (NMU) using the Backup Unit (BU)

By ingesting both, all Backup-KDMs (1) as well as the Server Certificate from the New Main Unit (NMU – step 2) new DKDMs for the New Main Unit are generated.

 

5 How to activate a complementary license of easyDCP KDM Generator+ Backup

Step 1. Download the easyDCP KDM Generator+ Installer for your target OS from your license status again and install it.

Step 2. Request a license and certificate and send it as usual to www.easyDCP.com (see also:How do I activate my easyDCP Product?.)

Step 3. www.easydcp.com will offer you: "Activate your complementary license". Select it for activation.

Now your license status shows a new entry called: "easyDCP KDM Generator+ Backup"

Step 4: Download the license and certificate data set and import it into your easyDCP KDM Generator+ Backup system. 

NOTE: The complementary license is locked for migration. If you need to migrate your easyDCP KDM Generator+ Backup system please contact us at info@easyDCP.com

 

easyDCP Anwendungen erfordern verschiedene Arten von Zertifikaten.

Server-Zertifikate:

Ist erforderlich, um in der Lage zu sein KDM´s zu empfangen.

Um einem Partner, der Ihnen eine verschlüsselte DCP liefern möchte, müssen Sie Ihre öffentlichen Server-Zertifikate bereitstellen. Diese sind Voraussetzung, um eine DKDM zu erstellen.

Signer-Zertifikate:

Werden benötigt, um verschlüsselte Inhalte von DCPs und KDMs digital zu signieren. Generell sollten alle DCPs digital signiert werden, um sicherzustellen, dass sie problemlos in einem digitalen Kinoserver aufgenommen werden. Nur für unverschlüsselte DCPs mit Interop-Konformität, ist eine Signatur optional.

Dies ist Voraussetzung, um verschlüsselte Interop und alle SMPTE gepackten Kinofilme störungsfrei im digitalem Kino vorführen zu können.

 

Welche easyDCP Programme benötigen welche Zertifikate?

Programm

Signer-Zertifikat

Server-Zertifikat

easyDCP Creator

-

easyDCP Creator+

X

X

easyDCP KDM Generator

X

-

easyDCP KDM Generator+

X

X

easyDCP Player

-

-

easyDCP Player+

-

X

easyDCP JPEG2000 Transcoder

-

-

 

Wie erhalten Sie Ihre Erstausstattung von Signer- und Server- Zertifikaten?

Ab easyDCP Player 2.0.X, easyDCP Creator 2.2.X und easyDCP KDM Generator 1.4.15 

Mit Erstellung des „License & Certificate Request“ und der Aktivierung über den Webshop www.easydcp.com werden, je nach easyDCP Applikation, Signer- und Server- Zertifikate in Ihrem „License & Certificate Set“ bereitgestellt.

Welche Art von Zertifikaten erforderlich sind, wenn überhaupt, ist abhängig von der easyDCP Anwendung.

Ältere easyDCP Versionen

Hierzu finden Sie in Ihrem Lizenzstatus unter www.easydcp.com die Funktion: Neues Serverzertifikat/Verwalten Zertifikate

 

Wie erhalten Sie Zugriff auf Ihre Signer- und Server-Zertifikatshistorie?

Hierzu finden Sie in Ihrem Lizenzstatus unter www.easydcp.com die Funktion: Zertifikate verwalten
Diese Funktion steht Kunden mit gültiger Service Extension zur Verfügung.

Anmerkungen:

  • Handelt es sich bei Ihrer Installation um ein Update, können die vorher benutzten Zertifikate weiter verwendet werden, wenn Sie noch über Ihre selbstgewählten Passwörter verfügen. Ist dies möglich, wird dies bereits beim „License & Certificate“ Request automatisch berücksichtigt.
  •  Server-Zertifikate sind Hardware gebunden. Wenn Sie eine Migration durchgeführt haben, benötigen Sie immer neue Server Zertifikate.
  •  Signer Zertifikate sind an Personen gebunden. Dennoch wird aus technischen Gründen jedem „License & Certificate Set“ ein neues Signer-Zertifikat enthalten.

Bitte beachten Sie: Alle Zertifikatsanforderungen werden mit einem von Ihnen vergebenen Passwort gesichert. Dieses Passwort benötigen Sie beim späteren Import in Ihrem easyDCP-Programm. Sie importiren das "Licensen & Certificate" Set wann immer Sie auf eine KDM zugreifen.

Dieses Passwort kann von uns nicht wiederhergestellt werden!

Üblicherweise finden Sie auf den FTP-Servern der Kino-Server-Hersteller sowohl die öffentlichen Server-Zertifikate als auch die Signaturkette, die zum Signieren der Zertifikate verwendet wurde.

Wenn Sie dem Server-Zertifikat nach Prüfung der Signaturkette vertrauen, benötigen Sie lediglich das Server-Zertifikat, um eine KDM zu erstellen. Das Server-Zertifikat hat üblicherweise eine *.pem oder eine *.crt Dateiendung.

Der easyDCP KDM Generator akzeptiert beide Formate, aber nicht beide gleichzeitig. Darüber hinaus können Paare von Zertifikaten und Signaturketten mit der Beschriftung „mpeg”, „sha1” and „sha256” vorhanden sein.
Ebenso wie bei DCPs gibt es SMPTE („sha256”) und Interop („sha1” / „mpeg”) KDMs.

Fast alle modernen Kino-Server bevorzugen SMPTE-KDMs - auch für Interop-DCPs.

Letztlich wird also meistens die „sha256” Version benötigt.

Nur wenn Sie sicher wissen, dass der Empfänger lediglich Interop KDMs annimmt, nutzen Sie das „sha1” Zertifikat und denken dabei bitte daran, die „Enable Interop mode”-Option im easyDCP KDM Generator Optionen-Menü auszuwählen.

Beachten Sie auch hierzu die FAQ: Woher bekomme ich die benötigten Server-Zertifikate, um die KDMs erstellen zu können?

easyDCP ab Version 3.6.0 wird innerhalb der Applikation unter "Preferences" aktiviert. 

Bitte beachten Sie unser Hilfe Video oder gehen Sie wie folgt vor: 

  1. Downloaden Sie die aktuellen easyDCP Installer aus Ihrem Account im Lizenzstatus.
  2. Wählen Sie unter "Preference/Activation Status (OSX)" "Optionen/Activation Status (Windows)" der installierten easyDCP Version die Funktion "Request License & Certificate" aus.
  3. Füllen Sie das angezeigte Formular gemäß Anweisung aus und wählen Sie "Send request".
  4. Nach dem Login beginnt die Lizenz- und Zertifikatsausstellung.
  5. Nach der Lizenz- und Zertifikatsausstellung laden Sie bitte Ihren "License & Certificate" Data Set im Lizenzstatus herunter importieren diesen über die Option "Request License & Certificate".

 Hinweis: Diese Aktivierung ist ab easyDCP Version 3.6.0 verfügbar.

  • Falls Sie einen easyDCP Creator(+) ab 2.2.X, easyDCP Player(+) ab 2.0.X und easyDCP KDM Generator(+) ab 1.4.1X bis einschließlich easyDCP Version 3.5.8 besitzen, klicken Sie hier.
  • Falls Sie eine ältere Version als easyDCP Creator(+) 2.2.X, easyDCP Player(+) 2.0.X oder easyDCP KDM Generator(+) 1.4.1X besitzen, klicken Sie hier.
  • Falls Sie eine easyDCP Resolve Plugin besitzen klicken Sie hier.
  • Falls Sie eine easyDCP SAM Rio Plugin besitzen klicken Sie hier.

Eine easyDCP Software Lizenz kann nur für eine Hardwareplattform installiert werden.

Wenn Sie eine easyDCP Lizenz auf eine andere Hardware - oder Betriebssystemplattform verschieben möchten, können Sie das einfach über die Funktion Migration tun. Hierzu gibt es die gleichlautende Funktion im Lizenzstatus in www.easyDCP.com.

Die Migration ist kostenfrei.

 
Um eine Migration zu tätigen. gehen Sie über unseren Webshop:

  1. Melden Sie sich in Ihr Konto unter www.easyDCP.com an
  2. Wählen Sie den Lizenzstatus
  3. Wählen Sie das Produkt das Sie migrieren müssen aus
  4. Wählen Sie "Migration Lizenz"

easyDCP Resolve Plug-In Kunden erhalten hier wichtige Zuatz-Informationen für die Migration Ihrer Lizenz 

Nach Abschluß der Migration können Sie eine neue Lizenz für das neue System generieren. Bitte beachten Sie, die folgenden FAQ´s um Ihr Produkt zu aktivieren.  

Bitte beachten Sie:

  • Generell ist es möglich, innerhalb eines Zeitraumes von 6 Monaten eine Migration ohne Rücksprache durchzuführen. Sollten Sie eine zweite Migration innerhalb des 6-monatigen Zeitraums benötigen, benachrichtigen Sie uns bitte per eMail über Ihre Gründe.
  • Nach Migration einer easyDCP "+" Version werden vorhandene Zertifikate ungültig. Alle dafür ausgestellten DKDMs sind auf dem neuen System nicht mehr verwendbar. Beachten Sie hierzu die FAQ Server- und Signer- Zertifikate

Für Programmversionen easyDCP Creator(+) bis 2.1.X, easyDCP Player(+) bis 1.9.X und easyDCP KDM Generator(+) bis 1.4.7 halten Sie bitte Ihren neu generierten Hashcode für Ihre neue Hardware/Betriebssystem bereit.

Es können unterschiedliche Versionen von easyDCP nebeneinander installiert werden.

Stellen Sie sicher, dass die jeweils gleichen easyDCP Applikationen den gleich "user application data folder", in dem die Settings, KDMs, Server-/Signer Zertifikate und Lizenzen gesepichert sind, verwenden.

Die Vorgehensweise ist in jedem Land verschieden. Wir können Ihnen diese Zertifikate leider nicht bereitstellen.

  • Der beste Weg ist, die Kinobetreiber direkt zu fragen. Diese sollten über die aktuellen Zertifikate ihrer Projektionssysteme verfügen bzw. können Ihnen die Seriennumern ihrer Geräte mitteilen.
  • Alternativ fragen Sie bitte direkt die Anbieter der jeweiligen Projektionssysteme.
  • Wenn Modell- und Seriennummer bekannt sind, können Sie den Hersteller des Systems anfragen, Zugang zu deren Datenbank zu erhalten.