Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
-
- Beiträge: 64
- Registriert: Mittwoch 20. März 2019, 10:05
- 5
- Hat sich bedankt: 4 times
- Bedankt: 10 times
Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
Guten Abend,
wenn plötzlich im Turbomed diese Messagebox erscheint:
“Die Verbindung zum Konnektor (Kocobox) kann nicht hergestellt werden"
kann es nach leidvoller langer Analyse daran liegen, dass das TurboMed "Zugangszertifikat für Clientsysteme" abgelaufen ist.
Das geschieht ohne jegliche Vorwarnung und ohne Hinweise auf diesen Umstand potentiell mitten in der Sprechstunde.
Es betrifft potentiell alle Kocobox Benutzer, die die Anbindung an Clientsysteme "HTTPS mit Client Zertifikat" in Turbomed eingestellt haben.
Eine gute Beschreibung befindet sich in dem Dokument "Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats". Leider ist aber auch dort die Gültigkeitsbegrenzung nicht beschrieben.
Wie kann man die Gültigkeit prüfen:
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme - Gültigsdauer nur 1 Jahr
Was ist bei abgelaufener Gültigkeit zu tun (ohne Gewähr!):
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme
1. abgelaufenes Zertifikat löschen
2. Zugangszertifikat hinzufügen ... (für TurboMed)
3. Download *.zip
Turbomed
4. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen
5. Alte Zertifikate im Turbomed Zertifikate Verzeichnis sichern, neue entpacken und an gleicher Stelle einfügen
6. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen - Verzeichnis einstellen - Pin Eingabe aus Datei
7. Turbomed neu als Administrator starten
Jetzt sollte die Verbindung wieder möglich sein.
Viele Grüße vom BER
wenn plötzlich im Turbomed diese Messagebox erscheint:
“Die Verbindung zum Konnektor (Kocobox) kann nicht hergestellt werden"
kann es nach leidvoller langer Analyse daran liegen, dass das TurboMed "Zugangszertifikat für Clientsysteme" abgelaufen ist.
Das geschieht ohne jegliche Vorwarnung und ohne Hinweise auf diesen Umstand potentiell mitten in der Sprechstunde.
Es betrifft potentiell alle Kocobox Benutzer, die die Anbindung an Clientsysteme "HTTPS mit Client Zertifikat" in Turbomed eingestellt haben.
Eine gute Beschreibung befindet sich in dem Dokument "Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats". Leider ist aber auch dort die Gültigkeitsbegrenzung nicht beschrieben.
Wie kann man die Gültigkeit prüfen:
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme - Gültigsdauer nur 1 Jahr
Was ist bei abgelaufener Gültigkeit zu tun (ohne Gewähr!):
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme
1. abgelaufenes Zertifikat löschen
2. Zugangszertifikat hinzufügen ... (für TurboMed)
3. Download *.zip
Turbomed
4. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen
5. Alte Zertifikate im Turbomed Zertifikate Verzeichnis sichern, neue entpacken und an gleicher Stelle einfügen
6. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen - Verzeichnis einstellen - Pin Eingabe aus Datei
7. Turbomed neu als Administrator starten
Jetzt sollte die Verbindung wieder möglich sein.
Viele Grüße vom BER
-
- Beiträge: 424
- Registriert: Mittwoch 5. September 2018, 21:47
- 5
- Wohnort: Land Brandenburg
- Hat sich bedankt: 17 times
- Bedankt: 30 times
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
Ja, das ist eine böse Falle.
Es gäbe eine Abhilfe: Zertifikate selbst mittels openssl erstellen. Dann kann man die benötigte Laufzeit vorgeben (angepasst an die Restlaufzeit des Konnektors oder der Praxis). Hat sich schon jemand mit den dafür nötigen Parametern auseinandergesetzt?
Ich war erst mal froh, es mit den konnektor-erzeugten Zertifikaten zum Laufen gebracht zu haben und wollte keine weitere potentielle Fehlerquelle einbauen. Aber der Ablaufzeitpunkt naht. Das wäre jetzt ein guter Grund, es nochmal anzugehen.
Es gäbe eine Abhilfe: Zertifikate selbst mittels openssl erstellen. Dann kann man die benötigte Laufzeit vorgeben (angepasst an die Restlaufzeit des Konnektors oder der Praxis). Hat sich schon jemand mit den dafür nötigen Parametern auseinandergesetzt?
Ich war erst mal froh, es mit den konnektor-erzeugten Zertifikaten zum Laufen gebracht zu haben und wollte keine weitere potentielle Fehlerquelle einbauen. Aber der Ablaufzeitpunkt naht. Das wäre jetzt ein guter Grund, es nochmal anzugehen.
-
- Beiträge: 64
- Registriert: Mittwoch 20. März 2019, 10:05
- 5
- Hat sich bedankt: 4 times
- Bedankt: 10 times
Zugangszertifikatewechsel TLS Turbomed KocoBox eAU
... leider ein wenig zu früh gefreut. VSDM läuft, aber eIn neuer eAU Fehler nach dem TLS Zertifikatewechsel für die Kommunikation TurboMed - KocoBox ist entstanden.
Messagebox bei eAU Versand
Fehler von CGM CONNECT:
"java.io.IOException: keystore password was incorrect"
Vmtl. Folgefehler:
"Aufgrund der fehlenden Empfangsadresse der zuständigen Krankenkasse kann die eAU nicht übermittelt werden."
Hat jemand eine Idee? Weiss jemand, ob die neue Zertifikatdatei und das zugehörige Passwort manuell auch für CGM Connect eingetragen werden muss? Wenn ja, wo genau und auf welchen Rechnern? Müssen die Zertifikatedateien auf allen clients lokal kopiert werden, auch wenn sie eigentlich vom Server genommen werden sollten?
Vielen Dank im Voraus und beste Grüße vom
BER
Messagebox bei eAU Versand
Fehler von CGM CONNECT:
"java.io.IOException: keystore password was incorrect"
Vmtl. Folgefehler:
"Aufgrund der fehlenden Empfangsadresse der zuständigen Krankenkasse kann die eAU nicht übermittelt werden."
Hat jemand eine Idee? Weiss jemand, ob die neue Zertifikatdatei und das zugehörige Passwort manuell auch für CGM Connect eingetragen werden muss? Wenn ja, wo genau und auf welchen Rechnern? Müssen die Zertifikatedateien auf allen clients lokal kopiert werden, auch wenn sie eigentlich vom Server genommen werden sollten?
Vielen Dank im Voraus und beste Grüße vom
BER
-
- Beiträge: 64
- Registriert: Mittwoch 20. März 2019, 10:05
- 5
- Hat sich bedankt: 4 times
- Bedankt: 10 times
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
Lösung bei uns:
- Sicherung
- Turbomed als Administrator starten
Menü/Sonstiges/Wartung/CGM-KIM/TLS-Verschlüsselung
Entsprechenden Wartungslauf starten, TLS weiterhin aktviert lassen
- Turbomed erneut als Administrator starten
- eAU Test erfolgreich
Viele Grüße vom
BER
Detail cm.fehler.log:
[Create Konnektor using KONNEKTOR_URI='https://XXX.XXX.XXX.XXX/connector.sds']
alt [error in reading keys for cert-based konnektor authentication]
neu: [Konnektor object successfully created]
- Sicherung
- Turbomed als Administrator starten
Menü/Sonstiges/Wartung/CGM-KIM/TLS-Verschlüsselung
Entsprechenden Wartungslauf starten, TLS weiterhin aktviert lassen
- Turbomed erneut als Administrator starten
- eAU Test erfolgreich
Viele Grüße vom
BER
Detail cm.fehler.log:
[Create Konnektor using KONNEKTOR_URI='https://XXX.XXX.XXX.XXX/connector.sds']
alt [error in reading keys for cert-based konnektor authentication]
neu: [Konnektor object successfully created]
-
- Beiträge: 4
- Registriert: Freitag 28. Januar 2011, 10:41
- 13
- Wohnort: Elmshorn
- Hat sich bedankt: 1 time
- Kontaktdaten:
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
2 Punkte sollten noch beachtet werden, die mich viel Zeit gekostet haben:
1. Die Namen der Clients für die die Kocobox die Zertifikate erstellt sind case sensitive! So ist 'turbomed' nicht gleich 'Turbomed' oder 'TurboMed'.
2. Die Passwörter, die die Kocobox für die Zertifikate erstellt dürfen bestimmte Sonderzeichen NICHT enthalten, weil sonst die KIM Anbindung nicht klappt. Hier im Forum hatte ich folgende Sonderzeichen gefunden, die Probleme machen sollen: ^,!,%,&,%,@. Folgende Sonderzeichen machen aus eigener Erfahrung keine Probleme: _,# (gerne bitte ergänzen). Wenn das Passwort für das erzeugte Zertifikat die falschen Sonderzeichen enthält, dann wieder in der Kocobox löschen und solange wieder neu erstellen lassen, bis ein Passwort generiert wird, das problemlos verwendet werden kann.
Viele Grüße aus Elmshorn
1. Die Namen der Clients für die die Kocobox die Zertifikate erstellt sind case sensitive! So ist 'turbomed' nicht gleich 'Turbomed' oder 'TurboMed'.
2. Die Passwörter, die die Kocobox für die Zertifikate erstellt dürfen bestimmte Sonderzeichen NICHT enthalten, weil sonst die KIM Anbindung nicht klappt. Hier im Forum hatte ich folgende Sonderzeichen gefunden, die Probleme machen sollen: ^,!,%,&,%,@. Folgende Sonderzeichen machen aus eigener Erfahrung keine Probleme: _,# (gerne bitte ergänzen). Wenn das Passwort für das erzeugte Zertifikat die falschen Sonderzeichen enthält, dann wieder in der Kocobox löschen und solange wieder neu erstellen lassen, bis ein Passwort generiert wird, das problemlos verwendet werden kann.
Viele Grüße aus Elmshorn
- FortiSecond
- Beiträge: 576
- Registriert: Dienstag 2. August 2022, 21:30
- 1
- Hat sich bedankt: 221 times
- Bedankt: 147 times
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
% und ! sollten eigentlich keine Probleme machen, $ & / \ sind wohl problematisch und können nur per Kopfstand genutzt werden ("Escapen").
Aber:
Für Zertifikate mit (für TM und CGM-KIM) unzulässigen Passwörtern gibt es noch einen brutalen Trick.
Doppelklick, Zertifikat "exportfähig" in Windows installieren (eigene...), danach dann in certmgr.msc (Windows-Zertfikatverwaltung) zum Zertifikat navigieren und dies exportieren. Und zwar mit dem privaten Schlüssel. Dort ist ein neues Zertfikatskennwort einzugeben. Das kann sogar 00000000 lauten. Es sollte aber eine gewisse Sicherheit bieten und ohne die besonderen Zeichen auskommen. *
Dieses bei gut gewähltem Kennwort weiterhin sichere Zertifikat lässt sich dann stressfrei nutzen.
Ob sich der Aufwand lohnt? Ein besser einzugebendes Kennwort ist immer nett. Sicherheit? Viele DVO speichern das Zertifikat samt .txt mit dem Klartextkennwort auf dem Systemlaufwerk. Ohnehin wird beim Laden/Öffnen der ZIP vom Konnektor das Passwort irgendwo im TEMP abgelegt. Streng betrachtet ist es damit bereits kompromittiert. Also ist ein abseits notiertes Kennwort nicht weniger sicher.
* = Hier lässt sich zum Beispiel ein angenehmes Passwort mit 18 Zeichen und "Aussprechbar" generieren: https://www.datenschutz.org/passwort-generator/
Aber:
Für Zertifikate mit (für TM und CGM-KIM) unzulässigen Passwörtern gibt es noch einen brutalen Trick.
Doppelklick, Zertifikat "exportfähig" in Windows installieren (eigene...), danach dann in certmgr.msc (Windows-Zertfikatverwaltung) zum Zertifikat navigieren und dies exportieren. Und zwar mit dem privaten Schlüssel. Dort ist ein neues Zertfikatskennwort einzugeben. Das kann sogar 00000000 lauten. Es sollte aber eine gewisse Sicherheit bieten und ohne die besonderen Zeichen auskommen. *
Dieses bei gut gewähltem Kennwort weiterhin sichere Zertifikat lässt sich dann stressfrei nutzen.
Ob sich der Aufwand lohnt? Ein besser einzugebendes Kennwort ist immer nett. Sicherheit? Viele DVO speichern das Zertifikat samt .txt mit dem Klartextkennwort auf dem Systemlaufwerk. Ohnehin wird beim Laden/Öffnen der ZIP vom Konnektor das Passwort irgendwo im TEMP abgelegt. Streng betrachtet ist es damit bereits kompromittiert. Also ist ein abseits notiertes Kennwort nicht weniger sicher.
* = Hier lässt sich zum Beispiel ein angenehmes Passwort mit 18 Zeichen und "Aussprechbar" generieren: https://www.datenschutz.org/passwort-generator/
--
TurboMechaniker seit 1992, kann auch etwas T2, Medoff, ALBIS, inSuite
TurboMechaniker seit 1992, kann auch etwas T2, Medoff, ALBIS, inSuite
- DocMoritz
- PowerUser
- Beiträge: 742
- Registriert: Montag 12. Dezember 2005, 21:19
- 18
- Hat sich bedankt: 3 times
- Bedankt: 6 times
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
Jetzt hat mich auch erwischt, Zertifikate abgelaufen, Fehlermeldung: Verbindung zum Konnektor kann nicht hergestellt werden.
Muss wohl die Zertifikate neu erstellen.
Muss ich auch KIM De- und Re-registrieren ? Oder nur Zertifikate löschen und neu einfügen.
Danke
Muss wohl die Zertifikate neu erstellen.
Muss ich auch KIM De- und Re-registrieren ? Oder nur Zertifikate löschen und neu einfügen.
Danke
-
- Beiträge: 157
- Registriert: Donnerstag 6. Februar 2020, 18:47
- 4
- Wohnort: Land Brandenburg
- Bedankt: 4 times
Re: Zugangszertifikate für Clientsysteme nur 1 Jahr gültig
Liegt die Gültigkeit immer noch bei einem Jahr?
In der KoCoBox-Managementschnittstelle -> Verwaltung -> Clientsysteme lese ich für das Clientsystem-RSA-2048-Zertifikat (TurboMed & caTurboMed) eine Gültigkeitsdauer "notBefore = ... 2023", "notAfter = ... 2028".
Das klingt wie 5 Jahre Gültigkeit?
Ich würde ungern mehr Aufwand treiben, als ohnehin schon notwendig.
Danke für eine kurze Rückmeldung, viele Grüße von DocET.
In der KoCoBox-Managementschnittstelle -> Verwaltung -> Clientsysteme lese ich für das Clientsystem-RSA-2048-Zertifikat (TurboMed & caTurboMed) eine Gültigkeitsdauer "notBefore = ... 2023", "notAfter = ... 2028".
Das klingt wie 5 Jahre Gültigkeit?
Ich würde ungern mehr Aufwand treiben, als ohnehin schon notwendig.
Danke für eine kurze Rückmeldung, viele Grüße von DocET.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste