Um den elektronischen Personalausweis oder ähnliche Ausweiskarten für die starke Authentisierung im Internet zu nutzen, muss der eingesetzte „eID-Client“ (z.B. die Open eCard App) aus dem Browser heraus aktiviert werden, um eine Verbindung zum „eID-Server“ aufzubauen, mit dem die eigentliche Authentisierung (z.B. mit dem Extended Access Control (EAC) Protokoll) durchgeführt wird.
Hierbei wurde vom Dienst in Schritt (2) ein bestimmtes <object> vom Typ application/vnd.ecard-client zurückgeliefert, das von der Browsererweiterung (BE) erkannt und in Schritt (3) aktiv an den eID-Client übergeben wurde.
Da bei diesem Aktivierungsmechanismus zwingend Browser-spezifische Erweiterungskomponenten notwendig sind, die teilweise schwer zu pflegen sind und auf mobilen Plattformen nicht immer zur Verfügung stehen, wurde mit der am 28.02.2012 veröffentlichten Version 1.1.2 der BSI-TR-03112 (siehe Teil 7, Abschnitt 3.2.1) der nachfolgend dargestellte Mechanismus zur „alternativen eID-Aktivierung“ eingeführt.
Hierbei wird in Schritt (2) statt dem <object> ein anklickbarer Link (<a href= …) zu dem auf localhost unter Port 24727 laufenden eID-Client zurückgeliefert, der dem Bürger beispielsweise durch ein Bild dargestellt werden kann. Sobald der Bürger auf diesen Link klickt, wird der eID-Client aktiv und baut eine Verbindung zum TCToken-Endpunkt auf, um dort die weiteren Verbindungsparameter (ServerAddress, SessionIdentifier, RefreshAddress etc.) zu beziehen. Der wesentliche Vorteil dieses Verfahrens ist, dass keine Browser-spezifische Erweiterungskomponenten notwendig sind.
Die Open eCard App unberstützt beide Verfahren zur eID-Aktivierung.