TLS Aktivierung

[rfbdoc]

Bei der TLS Aktivierung nach Anleitung

Bild1.jpg

erhalte ich die Fehlermeldung

Fehler.jpg

Wo finde ich das Zertifikat und das dazugehörige Kennwort, um es in TurboMed zu importieren ??
Ich muss doch eine Zip Datei TurboMed erhalten mit zugehörigem Passwort, um diese dann in den TurboMed Praxisdaten zu importieren und genau diese Datei habe ich nicht
Kann ggfs. eine neues Zertifkat nach Löschen des alten Zertifikast erstellt werden ??
Ich wäre für jede Hilfestellung dankbar

[Henrik313]

Hallo, das Herunterladen beim Zertifikat erzeugen funktionierte bei mir nur mit Firefox, nicht mit chrome oder edge.
Dort wo man das Zertifikat erzeugt kann man das alte auch löschen. Vorsicht, nur das richtige löschen, nicht das vom smc.

[rfbdoc]

Daran liegt es nicht. Die Fehlermeldung stammt aus Firefox.

[bofh]

Die Fehlermeldung dürfte von der Kocobox stammen. Das vorher für den gleichen Client (TurboMed) erzeugte Zertifikat löschen. Dann sollte es sich auch wieder neu anlegen lassen.
Der Zertifikatsdownload klappt auch mit dem Internetexplorer (11).

[rfbdoc]

@both
Danke für die Antwort. Das habe ich auch schon überlegt, hatte aber Befürchtungen damit etwas kaputt zu machen.
Und Sie meinen dass ich den gelb markierten Eintrag löschen muss ?

Zwischenablage01.jpg

Das verlangt mir wirklich Mut ab. Hat das schon mal jemand hier gemacht ? Man erhält dann eine Zip Datei TurboMed mit zugehörigem Passwort ?

[pmortara]

Für jedes ClientSystem kann nur ein Zertifikat vorhanden sein. Nach dem Löschen der gezeigten Einträge sollte sich wieder ein neues anlegen lassen. Der Download der Zip Datei sollte automatisch starten, wenn das neue Zertifikat angelegt wurde. Falls das nicht passiert, bitte mit einem anderen Browser versuchen. Löschen der Zertifikate ist prinzipiell kein Problem, nur falls man das schon irgendwo in Turbomed eingepflegt hat, wird das Einlesen von Karten dort nicht funktionieren bis man das neue Zertifikat hinzugefügt hat.

[rfbdoc]

Vielen Dank für die Antworten !!
Das beruhigt mich. Ich werde es somit in ruhiger Stunde mal angehen.

[DocMoritz]

Hallo,
Sicherheitshalber kann man die Konfiguration der Kocobox sichern( ich glaube bei Export/Import), und bei Bedarf zurückspielen..
Habe ich noch nicht gemacht , aber es müsste dann auch die alten Zertifikate rückgesichert werden , falls irgendwas schief gehen sollte.
Gruß

[Olli]

Kurzes Feedback, wir haben gerade in der Mittagspause auf TLS umgestellt, dies funktionierte unerwartet Reibungslos vor allem Dank der Anleitung "CGM TURBOMED - Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats ". Leider geht KIM nach wie vor nicht

[rfbdoc]

@both
Ihrer Empfehlung folgend habe ich das TurboMed Clientzertifikat gelöscht und neu erstellt. Damit ließ sich TLS letztlich problemlos nach Anleitung aktivieren. (In der Anleitung fehlt der Hinweis, dass man die heruntergeladene TurboMed Zip Datei vor Import des Zertifikats erst entpacken muss).
Vielen Dank für Ihre Unterstützung !!
Weiter bleiben KIM und ePA ansonsten eine Dauerbaustelle
viewtopic.php?f=11&t=8765

[bofh]

Gerne.

Und dann auch gleich einen Termin in knapp einem Jahr vormerken. Dann läuft das Zertifikat aus und muss erneuert werden.

[lcer]

Hallo zusammen,

meine Fehlersuche macht Fortschritte (KIM über kv.dox, TLS am Konnektor aktiviert). Ich habe hier mal Infos zusammengetragen, die bei der Fehlersuche helfen können. Bitte nicht ohne Sicherung verändern! Ich übernehme natürlich keine Garantie, dass alles korrekt ist.

1) Die Konfiguration des KIM-Anbieters kann nur auf dem Server vorgenommen werden. Der Server speichert die Konfiguration lokal in der Verzeichnisstruktur unter TurboMed\Daten\Var\aWinS\CGMCONNECT_CONFIGS\KOMLEPlugin Die Konfigurationsdateien kann man sich dort ansehen!

2) Die allgemeine Konfigdatei liegt unter F:\TurboMed\Daten\Var\aWinS\CGMCONNECT_CONFIGS\KOMLEPlugin\config.xml

Code: Alles auswählen

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<GeneralConfiguration>
    <pop3Port>995</pop3Port>
    <smtpPort>465</smtpPort>
    <komLeClientAdresse>192.168.0.26</komLeClientAdresse>
    <Fachdienstadresse>mail.akquinet.kim.telematik</Fachdienstadresse>
    <ldapUrl>ldap://192.168.20.220:636</ldapUrl>
    <ldapStartTls>true</ldapStartTls>
    <FachdienstPortSMTP>465</FachdienstPortSMTP>
    <FachdienstPortPOP3>995</FachdienstPortPOP3>
    <ldapsUsage>true</ldapsUsage>
    <ldapsCertificatePath>\\192.168.0.26\TurboMed\Daten\Var\Konnektor\Zertifikate\TurboMed.p12</ldapsCertificatePath>
    <ldapsCertificatePassword>C8kgsVei3i3u2h5hof7vkpGBCnJ64=</ldapsCertificatePassword>
</GeneralConfiguration>

dabei ist 192.168.0.26 der Turbomed-Server auf dem auch das kv.dox Clientmodul installiert ist. 192.168.20.220 ist der Konnektor. LDAPS verwenden.

3) Die Datei wird vom Client-PC heruntergeladen und für KIM benutzt. Deshalb muss das Client-Zertifikat (das, welches man aus dem Konnektor heruntergeladen hat) auf dem Client auch erreichbar sein. Ich habe es deshalb mit dem UNC-Pfad auf dem Server angegeben! Alternativ kann man das Zertifikat auf einen gleichlautenden Pfad des ArbeitsplatzPCs kopieren.

4) im Verzeichis F:\TurboMed\Daten\Var\aWinS\CGMCONNECT_CONFIGS\KOMLEPlugin\ sind Unterverzeichnisse mit den KIM-Email-Accounts. In diesen wiederum muss ein Unterverzeichnis für jeden Arbeitsplatz (Name=Comoputername des Arbeitsplatzes) existieren, von dem aus man KIM nutzen will. Fehlt das, gibt es einen Fehler. In Unterverzeichnissen muss eine config.xml enthalten sein, die den passenden Computernamen enthält. Also für den PC "ARZT1"

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<WorkplaceConfiguration>
<workPlaceID>ARZT1</workPlaceID>
</WorkplaceConfiguration>

5) Fehlerprotokolle:
- im Web-Interface des kv.dox Moduls unter Protokolle. Hier werden offenbar abwechselnd verschiedene typen von Protokollen (Ablaufprotokoll und Fehlerprotokoll) abgelegt. Also immer die letzten 2-3 Protokolle durchsehen. Die Protokolle liegen auf dem PC unter C:\Program Files (x86)\KBV\kv.dox KIM Clientmodul\Logs
- im Turbomed: Komunikation/CGM CONNECT/CGM CONNECT Verbindungsdiagnose - dann den Dialog bestätigen und im erscheinenden Fenster links oben auf "Logs" klicken. Da log enthält jede menge Müll, protokolliert aber den Email-Versand.
- im Konnektor: Protokllierungsdienst/Systemprotokoll Hier werden Fehler beim Aufrufkontext angezeigt.

6) mit Wireshark auf dem Client kann man die SMTP und POP3 Kommunikation zwischen Arbeitsplatz und Server mitverfolgen. (für Profis).

Staus jetzt:

ich kann das Adressbuch durchsuchen und KIM senden. Empfangen geht irgendwie noch nicht, da muss ich noch nachsehen.


Grüße

lcer

[lcer]

Empfangen geht irgendwie noch nicht, da muss ich noch nachsehen.

ich bekomme sowohl auf dem Server, als auch auf dem Client die folgende Fehlermeldung in der CGM CONNECT Verbindungsdiagnose:

Code: Alles auswählen

[DEBUG] plugins.komle.configuration.ConfigurationController          - Load the configuration
[DEBUG] plugins.komle.configuration.GeneralConfiguration             - General configuration file found, loading ...
[DEBUG] plugins.komle.configuration.ConfigurationController          - User name is NULL, can't load the user based configuration files.
[DEBUG] plugins.komle.configuration.ConfigurationUtils               - Created POP3 username: #mail.akquinet.kim.telematik:995#null#null#null
[DEBUG] plugins.komle.configuration.ConfigurationUtils               - Created SMTP username: #mail.akquinet.kim.telematik:465#null#null#null
[ERROR] plugins.komle.configuration.ConnectionCheck                  - Could not authenticate in POP3 server

Übersetzt heisst das, dass das Turbomed-Plugin den Benutzernamen nicht ermitteln kann und daher auch keine passende Benutzerkonfigurationsdatei laden kann. In der Folge wird dann der kv.dox Benutzername falsch zusammengesetzt und der Abruf schlägt natürlich fehl. Beim Senden wird der Benutzername richtig zusammengebaut und im Log anzeigt.

Ich würde das nicht als Konfigurationsfehler, sondern als Programmierfehler werten.

Grüße

lcer

[torsten2]

Ich hatte ja bereits geschrieben, daß ich nach jeder eAU das kv.dox Clientmodul neu starten muß, sonst bekomme ich Passwortfehler. Werde mir das in den Logs auch nochmal genau angucken. Danke für den Tipp, wo man das findet. Ich habe scheinbar mit dem Empfangen von Mails keine Probleme:


[DEBUG] xmpp.core.session.XmppSession - Connected via TCP connection to connect.cgm.com/185.9.12.140:5222
[DEBUG] xmpp.core.session.XmppClient - Negotiating stream, waiting until SASL is ready to be negotiated.
[DEBUG] core.net.client.SocketConnection - Connection has been secured via TLS.
[DEBUG] xmpp.core.session.XmppClient - Stream negotiated until SASL, now ready to login.
[DEBUG] xmpp.core.session.XmppClient - Was already logged in. Re-login automatically with known credentials.
[DEBUG] xmpp.core.session.XmppClient - Starting SASL negotiation (authentication).
[DEBUG] plugins.komle.mail.MailPoller - Starting mail poller
[DEBUG] plugins.komle.mail.Pop3Mail - Connecting POP3.
[DEBUG] plugins.komle.configuration.ConfigurationUtils - Created POP3 username: b-?????????.kvt@kv.dox.kim.telematik#mail.akquinet.kim.telematik:995#???????????????#TurboMed#HERA
[DEBUG] plugins.komle.mail.Pop3Mail - Found 0 mails in mail folder
[DEBUG] connector.plugins.komle.KomLePlugin - Sending object state: connect.KomLePlugin.noNewMails
[DEBUG] connector.plugins.komle.KomLePlugin -

Wenn ich was helfen kann, kann ich gerne verschiedene Einstellungen nachsehen und hier posten.

[Timo Beil]

Nach der TLS-Aktivierung funktioniert die eAU nicht mehr, Turbomed findet die Adresse der Krankenkasse anscheinend nicht mehr. Nach Re-Aktivierung funktionierts wieder.

[DocET]

Liebe Kollegen,

die o.g. Dokumentation "Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats" fordert auf S.4 oben unter anderem, den http-Zugriff auf die Kocobox zu verwehren.

Vor diesem Schritt muss doch aber sichergestellt sein, dass (unabhängig vom Browser) bereits eine https-Verbindung zur Kocobox aufgebaut ist. Anderenfalls hat man keinen Zugriff mehr über die Kocobox-Management-Schnittstelle?!

Wie haben Sie vor diesem Schritt die Kommunikation Ihres Browsers zur Kocobox auf https umgestellt?

Danke für Ihre Unterstützung, viele Grüße von DocET.

[rfbdoc]

Es funktioniert genau nach Anleitung. Auch nach Umstellung auf TLS können Sie normal mit dem Browser auf die Box zugreifen.

Es wird nur der Datenaustausch zwischen TurboMed als Client und der KocoBox auf Https umgestellt.

So zumindest interpretiere ich das. Ich habe gestern auf TLS Kommunikation umgestellt, das Zertifikat in TM importiert.
Dazu musste man die heruntergeladen zip Datei TurboMed.zip erst entpacken und dann das Zertifikat importieren und das heruntergeladene Passwort eingeben
Den Administrativen Zugang auf die Kocobox kann ich auch danach ganz normal weiter mit Firefox ausführen.

[rfbdoc]

Nach Re-Aktivierung funktionierts wieder.

Was meinen Sie damit ??
Deregistrierung und Neuregistrierung der KIM Adresse ??

[DocET]

Es funktioniert genau nach Anleitung. Auch nach Umstellung auf TLS können Sie normal mit dem Browser auf die Box zugreifen.

Es wird nur der Datenaustausch zwischen TurboMed als Client und der KocoBox auf Https umgestellt.

So zumindest interpretiere ich das. Ich habe gestern auf TLS Kommunikation umgestellt, das Zertifikat in TM importiert.
Dazu musste man die heruntergeladen zip Datei TurboMed.zip erst entpacken und dann das Zertifikat importieren und das heruntergeladene Passwort eingeben
Den Administrativen Zugang auf die Kocobox kann ich auch danach ganz normal weiter mit Firefox ausführen.

Sehen Sie bei der Kommunikation vom Browser mit der Kocobox Management-Schnttstelle im Firefox oben das Schloss für gesicherte Verbindung?

Danke für Ihre Rückmeldung!

[lcer]

Hallo,

zu Erklärung:

der Zugang zur Web-Administrationsoberfläche der KocoBox war schon immer über https verschlüsselt, normales http (ohne s) war nie möglich. Die TLS-Aktivierung aktiviert die Verschlüsselung für nur den Zugriff auf die Telematik-Dienste. Allerdings ist die Bezeichnung TLS-Verschlüsselung nicht exakt. Eigentlich müsste man sagen TLS-Verschlüsselung mit Überprüfung des Client-Zertifikats:

TLS-Verschlüsselung ohne Überprüfung des Client-Zertifikats: Server und Client benutzen die TLS-Verschlüsselung. Die Identität des Clients wird vom Server nicht überprüft. Beliebige Clients können eine Verbindung herstellen. -> Zugriff auf die Web-Admin-Oberfläche
TLS-Verschlüsselung mit Überprüfung des Client-Zertifikats: Server und Client benutzen die TLS-Verschlüsselung. Der Server lässt sich vom Client ein Zertifikat zeigen, welches er überprüft. Nur Clients mit zulässigen Zertifikaten können eine Verbindung herstellen. -> Zugriff auf TI-Dienste

Deshalb muss bei allen TI-Diensten das Client-Zertifikat und dessen Password im Turbomed/KIM etc. konfiguriert werden. Auch für den LAPD-zugriff. Für kv.dox siehe mein Post weiter oben. Für CGM-KIM gibt es dafür eine Wartungsfunktion unter Sonstiges/Wartung/CGM KIM.

Grüße

lcer