Hilfe, Telematik tot, kv.dox und ECC

[torsten2]

Ich habe heute mit meinem DVO auf ECC umgestellt. Jetzt kommt im TM eine Fehlermeldung und die Verbindung zum Konnektor klappt nicht. Mit NIST und Brainpool nicht. Es würde stehenbleiben, weil KIM nicht geht, d.h. Kv.dox. Ich kann keine Zertifikate im kv.dox Clientmodul importieren. Der DVO kennt sich mit kv.dox leider nicht aus:

kvdox.png

Morgen ist voll bestellt und wir können nicht mal Karten einlesen. Kann jemand helfen??

[Lazarus]

Ich würde es wieder auf RSA umstellen, beide Zertifikate sollten in der Kokobox hinterlegt sein

[CGM-FTW]

Ich bin mir sehr sicher, dass die Kocobox definitiv unter der gleichen Clientsystem-ID _keine_ zwei Zertifikate (ECC und RSA) gleichzeitig speichert.
Um das eine zu generieren, muss man das andere löschen.

Ich würde bei der CGM Hotline anrufen. Ist ja mal wieder der Hammer, das ein CGM DVO nicht weiß, wie man das eigene System bedient.
Zum Glück arbeite ich in dem Laden nicht mehr.

[Lazarus]

Seltsam, bei uns kann man in der Kocobox unter Verwaltung/Clientsysteme zwischen RSA und ECC hin und her auswählen

[lcer]

Nach dem umstellen vom rsa auf das ecc Zertifikat muss man die kokobox neu starten.

Grüße


lcer

[torsten2]

Für die CGM ist kv.dox ein Fremdanbieter. Was halt nicht geht ist, daß der Import des ECC fehlschlägt, weil KIM nicht funktioniert. Das ist doch unerheblich. So könnte man wenigstens eGK einlesen, eRP würde gehen. Auf die eAU und den eAB könnte ich auch eine Weile verzichten.

Ich habe noch etwas rumgebastelt und den secP256r1 enabled und mit den Gruppenrichtlinien diesen ganz nach oben gestellt.

PS C:\WINDOWS\system32> Get-TlsEccCurve
secP256r1
brainpoolP256r1
curve25519
NistP256
NistP384

jetzt geht das Client-Modul und der kv.dox Mailclient. Der Import des Zertifikates in TM hat immer noch einen Fehler 500 geworfen. Ich habe trotzdem gespeichert und nach einem Neustart von TM war das Telematik-Symbol plötzlich grün.

Vielen Dank für Euren Beistand!!!!

Ich habe noch Fragen:
1.
Wenn ich doch jetzt ein solches Zertifikat habe:

konnektor5.png

warum bekomme ich im Status vom Konnektor immer noch einen Fehler angezeigt:

konnektor2.png

Der Konnektor sollte doch mit seinem selbst generierten Zertifikat glücklich sein??

2.

Ich habe verstanden, daß der eigentliche Sinn der Veranstaltung ist, daß man folgenden Schalter auf ECC stellen kann und sich der Konnektor dann nurmehr mit ECC Zertifikaten meldet:

konnektor4.png

Wenn ich in VPN Zugangsdienst bereits RSA und ECC stehen habe:

konnektor3.png

Fliegt mir dann beim Umstellen die TI VPN weg und wie melde ich das ggf. wieder an?
Das werde ich wohl einige Tage rausschieben und erstmal durchatmen.

[FortiSecond]

@torsten2
Das Zertifikat zur Authentifizierung des Clientsystems ist unabhängig vom VPN-Zugangsdienst.
Letzterer wird registriert per SMC-B und mit dessen Zertifikat(en bei RSA+ECC).
Es kann also klappen, den Rest auf ECC umzustellen. Die TI-Anbindung selbst wird davon nicht beeinflusst.

Allerlei Kombinationen sind "unterwegs" möglich, sei es "Kartenleser per ECC, TM+KIM per RSA, VPN mit ECC".

KV.DOX kann ECC seit einiger Zeit. TM dem Anschein nach einige Sorten ECC (wobei ich mit Secunet... ach lassen wir das).
Bei KV.DOX ist es allerdings wohl so, dass man nach dem Umstellen auf ECC-Zertifikat (Clientauth am Konnektor) zusätzlich noch einmal ein Zertifikat für das Clientmodul beschaffen muss. Dafür muss man sich im Clientmodul mit der KIM-Adresse anmelden. Erst dann geht´s an diese Details.
Beim CGM KIM ist es ebenfalls möglich, ein neues Zertifikat vom (Post-)Fachdienst zu holen.