Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

In diesem Forum dreht sich alles um den TI-Konnektor "KoCoBox" der CGM und die kommende Lösung "TIaaS" ("TI as a Service"). Egal ob Fragen, Probleme, Tipps, Hilfestellungen: Alle Beiträge zum Thema TI, KoCoBox, KIM, eAU usw. sind hier genau richtig.
Antworten
BER
Beiträge: 64
Registriert: Mittwoch 20. März 2019, 10:05
5
Hat sich bedankt: 4 times
Bedankt: 9 times

Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von BER »

Guten Abend,

wenn plötzlich im Turbomed diese Messagebox erscheint:

“Die Verbindung zum Konnektor (Kocobox) kann nicht hergestellt werden"

kann es nach leidvoller langer Analyse daran liegen, dass das TurboMed "Zugangszertifikat für Clientsysteme" abgelaufen ist.
Das geschieht ohne jegliche Vorwarnung und ohne Hinweise auf diesen Umstand potentiell mitten in der Sprechstunde. :oops:

Es betrifft potentiell alle Kocobox Benutzer, die die Anbindung an Clientsysteme "HTTPS mit Client Zertifikat" in Turbomed eingestellt haben.
Eine gute Beschreibung befindet sich in dem Dokument "Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats". Leider ist aber auch dort die Gültigkeitsbegrenzung nicht beschrieben.

Wie kann man die Gültigkeit prüfen:
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme - Gültigsdauer nur 1 Jahr


Was ist bei abgelaufener Gültigkeit zu tun (ohne Gewähr!):

KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme
1. abgelaufenes Zertifikat löschen
2. Zugangszertifikat hinzufügen ... (für TurboMed)
3. Download *.zip

Turbomed
4. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen
5. Alte Zertifikate im Turbomed Zertifikate Verzeichnis sichern, neue entpacken und an gleicher Stelle einfügen
6. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen - Verzeichnis einstellen - Pin Eingabe aus Datei
7. Turbomed neu als Administrator starten

Jetzt sollte die Verbindung wieder möglich sein. :-)

Viele Grüße vom BER
bofh
Beiträge: 422
Registriert: Mittwoch 5. September 2018, 21:47
5
Wohnort: Land Brandenburg
Hat sich bedankt: 17 times
Bedankt: 28 times

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von bofh »

Ja, das ist eine böse Falle.

Es gäbe eine Abhilfe: Zertifikate selbst mittels openssl erstellen. Dann kann man die benötigte Laufzeit vorgeben (angepasst an die Restlaufzeit des Konnektors oder der Praxis). Hat sich schon jemand mit den dafür nötigen Parametern auseinandergesetzt?

Ich war erst mal froh, es mit den konnektor-erzeugten Zertifikaten zum Laufen gebracht zu haben und wollte keine weitere potentielle Fehlerquelle einbauen. Aber der Ablaufzeitpunkt naht. Das wäre jetzt ein guter Grund, es nochmal anzugehen.
BER
Beiträge: 64
Registriert: Mittwoch 20. März 2019, 10:05
5
Hat sich bedankt: 4 times
Bedankt: 9 times

Zugangszertifikatewechsel TLS Turbomed KocoBox eAU

Beitrag von BER »

... leider ein wenig zu früh gefreut. VSDM läuft, aber eIn neuer eAU Fehler nach dem TLS Zertifikatewechsel für die Kommunikation TurboMed - KocoBox ist entstanden.

Messagebox bei eAU Versand

Fehler von CGM CONNECT:
"java.io.IOException: keystore password was incorrect"

Vmtl. Folgefehler:
"Aufgrund der fehlenden Empfangsadresse der zuständigen Krankenkasse kann die eAU nicht übermittelt werden."

Hat jemand eine Idee? Weiss jemand, ob die neue Zertifikatdatei und das zugehörige Passwort manuell auch für CGM Connect eingetragen werden muss? Wenn ja, wo genau und auf welchen Rechnern? Müssen die Zertifikatedateien auf allen clients lokal kopiert werden, auch wenn sie eigentlich vom Server genommen werden sollten?

Vielen Dank im Voraus und beste Grüße vom

BER
BER
Beiträge: 64
Registriert: Mittwoch 20. März 2019, 10:05
5
Hat sich bedankt: 4 times
Bedankt: 9 times

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von BER »

Lösung bei uns:

- Sicherung
- Turbomed als Administrator starten
Menü/Sonstiges/Wartung/CGM-KIM/TLS-Verschlüsselung
Entsprechenden Wartungslauf starten, TLS weiterhin aktviert lassen
- Turbomed erneut als Administrator starten
- eAU Test erfolgreich

Viele Grüße vom
BER

Detail cm.fehler.log:
[Create Konnektor using KONNEKTOR_URI='https://XXX.XXX.XXX.XXX/connector.sds']
alt [error in reading keys for cert-based konnektor authentication]
neu: [Konnektor object successfully created]
rschwarzhoff
Beiträge: 4
Registriert: Freitag 28. Januar 2011, 10:41
13
Wohnort: Elmshorn
Hat sich bedankt: 1 time
Kontaktdaten:

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von rschwarzhoff »

2 Punkte sollten noch beachtet werden, die mich viel Zeit gekostet haben:

1. Die Namen der Clients für die die Kocobox die Zertifikate erstellt sind case sensitive! So ist 'turbomed' nicht gleich 'Turbomed' oder 'TurboMed'.

2. Die Passwörter, die die Kocobox für die Zertifikate erstellt dürfen bestimmte Sonderzeichen NICHT enthalten, weil sonst die KIM Anbindung nicht klappt. Hier im Forum hatte ich folgende Sonderzeichen gefunden, die Probleme machen sollen: ^,!,%,&,%,@. Folgende Sonderzeichen machen aus eigener Erfahrung keine Probleme: _,# (gerne bitte ergänzen). Wenn das Passwort für das erzeugte Zertifikat die falschen Sonderzeichen enthält, dann wieder in der Kocobox löschen und solange wieder neu erstellen lassen, bis ein Passwort generiert wird, das problemlos verwendet werden kann.

Viele Grüße aus Elmshorn
Benutzeravatar
FortiSecond
Beiträge: 562
Registriert: Dienstag 2. August 2022, 21:30
1
Hat sich bedankt: 207 times
Bedankt: 141 times

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von FortiSecond »

% und ! sollten eigentlich keine Probleme machen, $ & / \ sind wohl problematisch und können nur per Kopfstand genutzt werden ("Escapen").

Aber:
Für Zertifikate mit (für TM und CGM-KIM) unzulässigen Passwörtern gibt es noch einen brutalen Trick.

Doppelklick, Zertifikat "exportfähig" in Windows installieren (eigene...), danach dann in certmgr.msc (Windows-Zertfikatverwaltung) zum Zertifikat navigieren und dies exportieren. Und zwar mit dem privaten Schlüssel. Dort ist ein neues Zertfikatskennwort einzugeben. Das kann sogar 00000000 lauten. Es sollte aber eine gewisse Sicherheit bieten und ohne die besonderen Zeichen auskommen. *

Dieses bei gut gewähltem Kennwort weiterhin sichere Zertifikat lässt sich dann stressfrei nutzen.
Ob sich der Aufwand lohnt? Ein besser einzugebendes Kennwort ist immer nett. Sicherheit? Viele DVO speichern das Zertifikat samt .txt mit dem Klartextkennwort auf dem Systemlaufwerk. Ohnehin wird beim Laden/Öffnen der ZIP vom Konnektor das Passwort irgendwo im TEMP abgelegt. Streng betrachtet ist es damit bereits kompromittiert. Also ist ein abseits notiertes Kennwort nicht weniger sicher.


* = Hier lässt sich zum Beispiel ein angenehmes Passwort mit 18 Zeichen und "Aussprechbar" generieren: https://www.datenschutz.org/passwort-generator/
--
TurboMechaniker seit 1992, kann auch etwas T2, Medoff, ALBIS, inSuite
Benutzeravatar
DocMoritz
PowerUser
Beiträge: 738
Registriert: Montag 12. Dezember 2005, 21:19
18
Hat sich bedankt: 3 times
Bedankt: 4 times

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von DocMoritz »

Jetzt hat mich auch erwischt, Zertifikate abgelaufen, Fehlermeldung: Verbindung zum Konnektor kann nicht hergestellt werden.
Muss wohl die Zertifikate neu erstellen.
Muss ich auch KIM De- und Re-registrieren ? Oder nur Zertifikate löschen und neu einfügen.
Danke
DocET
Beiträge: 154
Registriert: Donnerstag 6. Februar 2020, 18:47
4
Wohnort: Land Brandenburg
Bedankt: 4 times

Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig

Beitrag von DocET »

Liegt die Gültigkeit immer noch bei einem Jahr?

In der KoCoBox-Managementschnittstelle -> Verwaltung -> Clientsysteme lese ich für das Clientsystem-RSA-2048-Zertifikat (TurboMed & caTurboMed) eine Gültigkeitsdauer "notBefore = ... 2023", "notAfter = ... 2028".

Das klingt wie 5 Jahre Gültigkeit?

Ich würde ungern mehr Aufwand treiben, als ohnehin schon notwendig.

Danke für eine kurze Rückmeldung, viele Grüße von DocET.
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste