KoCoBox Update Firmware 6.0.8

[torsten2]

Das angekündigte Firmwareupdate auf Version 6.0.8 wird jetzt auf der Box angezeigt. Es wäre verpflichtend bis 30.06. zu installieren. Gibt es schon Erfahrungen damit?!

[avoelker]

Update soeben über das Kocobox Dashboard durchgeführt.

Keine Probleme - Turbomed startet nach Abfrage der PIN-SMC-B normal - über das e-Cockpit ist CGM-KIM mit grünem Haken versehen

Das Dashboard der Kocobox zeigt aber immer noch die RSA-Verschlüsselung als aktiv (und nicht die angekündigte ECC-Verschlüsselung).
CGM hatte doch eine vollautomatisierte Umstellung angekündigt?

Muss da jetzt noch Handarbeit angelegt werden?

freundlich grüßend aus Ahlen
A. Völker

[frabu]

Geht das Update auch via Koco-Servicetool?

[Lazarus]

Es läuft , mal sehen, was am 1.7 passiert

[ebitdd]

Laut der Service-Hotline soll noch gar nicht auf ECC umgeschalten werden (TurboMed noch nicht bereit). Bei uns hat es einfach das AUT.1 Zertifikat - RSA2028 - entfernt und nur das ECC da gelassen, welches nicht funktioniert... also läuft TI gerade nicht.

[torsten2]

Update eingespielt, lief ohne Probleme durch. Box ist wieder nur halb hochgefahren und hat dann nochmal neu gestartet, das ist aber immer so. Ich erschreck mich trotzdem jedesmal wieder. Man kann jetzt bei den ECC Zertifikaten auch die Unterart einsehen (secpool, brainpool). Soweit schon getestet (eGK einlesen, eRp) funktioniert alles.

Ich bin schon seit Wochen auf ECDSA (secp256r1) und TM funktioniert. Ich hatte eine seltsame Fehlermeldung weil die Konnektor Authentisierung noch auf RSA stand. Ich habe sie auf ECC umgestellt und jetzt ist der RSA Eintrag bei mir auch gleich ganz verschwunden. Es funktioniert aber alles, haben grade eGK eingelesen.

[Frankolas]

Also bei mir wird das Update auch auf der Box angezeigt. Da aber alle Einstellungen auf Autoupdate stehen, warte ich erst einmal ab.

[torsten2]

Die positive Nachricht, es geht erstmal alles und das Gerät reagiert viel schneller. Insbesondere der Aufruf der Webseite hat sich deutlich verbessert. Der Download des Backups wurde offenbar auch in Ordnung gebracht, geht jetzt mit dem aktuellen Firefox.
Jedoch startet der Konnektor mehrfach am Tag ungefragt neu, bleibt aber nicht stecken. Ich vermute allerdings, daß das von außen ausgelöst wird und die CGM selber dranrum konfiguriert?? Ist das in den anderen Praxen auch so?

[dmerchel]

Hier ist das Update gestern automatisch aufgespielt worden.
Nach etwas Startschwierigkeiten am Morgen lief und läuft nach Neustart alles ohne Probleme.
Mich interessieren keine Zertifikate, solange alles läuft.

Schönes Wochenende ganz ohne TurboMed (Update kommt ja erst nächste Woche)

[DocET]

Hallo Thorsten2,

Sie sind "schon seit Wochen auf ECDSA (secp256r1) und TM funktioniert". Welchen TurboMed-Build hatten Sie zur Umstellung des Clientsystems "TurboMed" auf ECC? Mussten Sie das neue ECC-Zertifikat ebenfalls in KIM eintragen?

Und laufen denn alle Dienste, auch die ePA (waren dazu extra Aktivitäten erforderlich)?

Danke für eine kurze Rückmeldung, viele Grüße von DocET

[Warromat]

Hallo zusammen,

letzte Woche wurde die KoCoBox G4 automatisch auf PTV6 geupdatet. Leider wurde dabei das alte 2048 Bit Client RSA Zertifikat gelöscht.
Mit PTV6 können aber nur noch ECC256 oder RSA3072 Bit Zertifikate neu erstellt (bzw. auch nur genutzt?) werden.

Turbomed selber kommt mit beiden neuen Formaten nicht klar...d.h. die Praxis kann gerade nur ohne TLS auf den Konnektor zugreifen, um überhaupt Teile der TI benutzten zu können. Keine ePA, keine Komfortsignatur etc...

Was ist das bitte für ein Armutszeugnis, dass 14 Tage vor der "Pflicht" und nach Freigabe des Konnektorupdates durch eine Tochterfirma der CGM dies nicht möglich ist?

Komischer Weise kommt das CGM KIM Client Modul mit beiden neuen Zertifikaten klar...

Hat da jemand einen Lösungsansatz? (Am Windows Server sind bereits per Powershell die richtigen Zertifikate aktiviert).

Vielen Dank.

Viele Grüße und am besten das Automatische Update auf PTV6 im Konnektor erst einmal deaktivieren!

[Elkrib]

Aktuelle Firmware eingespielt, 6.0.8.
Keinerlei Probleme bisher im täglichen Betrieb.
Warte auf den 1.7.

[doc_ti_ms]

Viele Grüße und am besten das Automatische Update auf PTV6 im Konnektor erst einmal deaktivieren!

...sehr wichtige Einstellung!

[frabu]

Geht das Update auch via Koco-Servicetool?

Also besser noch abwarten mit dem Update zur Firmware 6.0.8? Ist es prinzipiell ein Unterschied das Update über das Koco-Sevicetool oder direkt über die Kocobox-Benutzeroberfläche einzuspielen?

[FortiSecond]

Frage, von der alles abhängt:
Hat jemand KOMPLETT auf ECC umgestellt UND eine funktionierende ePA?

Denn wenn das PTV6 wirklich RSA für das Clientzertifikat komplett eliminiert (wie hier berichtet), dann ist dies die Voraussetzung.

Wenn´s bei jemandem geklappt hat, bitte Info hier.
Dann würde ich ggfs. am Montagabend oder am Dienstagabend alle Schritte durchgehen und eine Bildstrecke erzeugen wollen.

[fschmidt]

Also bei mir ist (wie vor dem Update) nach Update (und Neustart des Konrektors) folgendes konfiguriert:

• Turbomed Client mit ECDSA (secp256r1)

• Konnektor weiterhin mit RSA (2048), alternativ wäre hier auch ECDSA (brainpoolP256r1) verfügbar, aber dann klappte bei meinem letzten Versuch (Ende 2025) die Adressermittlung via LDAP nicht (siehe viewtopic.php?p=71324#p71324)

[doc_ti_ms]

Einfach noch eine Woche abwarten und das Wochenende 27./28.06. das Update machen!

[torsten2]

Mit secpool funktioniert auch LDAPS. Tatsächlich hatte ich noch gar nicht gemerkt, daß die ePA nicht mehr funktioniert:

Unbenannt2.png

Wenn ich versuche die CBOX zu updaten bekomme ich eine etwas sinnvollere Fehlermeldung:

Unbenannt3.png

Das kann stimmen, da ich das Zertifikat der Box noch auf RSA stehen hatte und nun auf die einzig verbleibende Option ECC umgestellt wurde.
Soweit ich gelesen habe, kann die CBOX das Zertifikat nicht selber updaten, man müsse den Dienst anhalten, die .json Dateien löschen, den Dienst neu starten und dann die CBOX neu einrichten. Ich glaube, wir wären FortiSecond für eine detaillierte Beschreibung alle sehr dankbar.

Einen sonnigen Sonntag allen ohne TI!!

[BeRi]

Also, ich habe komplett umgestellt, ABER ePA funktioniert (noch) nicht. Trotzdem möchte ich einmal darstellen was ich gemacht habe um soweit zu kommen. Vielleicht hilft es ja dem einen oder anderen hier oder kann für eine Anleitung verwendet werden.

1) Kocobox update auf 6.0.8 -> nach dem Update alles wie bisher, alles RSA, alles läuft. (Konnektorzertifikat RSA ist noch da)

2) in der Kocobox unter Verwaltung/Clientsysteme neues Clientzertifikat (ECDSA (secp256r1) für TurboMED erstellt.
2a.) dieses Zertifikat in TurboMED unter Konnektor Einstellungen importiert
2b.) dieses Zertifikat im KIM-Clientmodul (Webzugriff via browser) importiert
=> Test (Client-ECC, Box weiter RSA) soweit ok.

3) KocoBox unter Verwaltung/Clientsysteme das Konnektorzertifikat von C.CA.AUT (RSA) auf C.CA.AUT2 (ECDSA brainpoolP265r1) umgestellt.
3a) Neustart KocoBox wichtig!
=> Nichts geht mehr, TurboMED kann nicht mit TI/Kocobox kommunizieren. C.CA.AUT ist jetzt weg!!! ...und kommt auch nicht wieder.
=> nach langem suchen und testen, Serverzertifikat (C.CA.AUT2) TM nicht bekannt zu sein. Zwar kann seit dem neuen Update 6.0.8 das Zertifikat aus der Kocobox heruntergeladen werden, aber ein Import in TM ist nicht vorgesehen Das alte Zertifikat C.CA.AUT war ja TM bekannt, also muss es ja mitgeliefert worden sein. Die mitgelieferten Zertifikat befinden sich in TM in den Datei CAfile.pem DHfile.pem im Verzeichnis TuroboMED/Zertifikate. Diese Files werden beim Import des Client-Schlüssels aus der KocoBox mit diesem zur client.pem im Verzeichnis \TurboMed\Daten\Var\Konnektor\Zertifikate\XXXXXXXX zusammengefast und TM damit bekannt gemacht.
Hier würd es jetzt merkwürdig, bis 10/2025 war der File CAfile.pem 54.080k groß und enthielt das Zertifikat CN=GEM.KOMP.CA6 das ist das C.CA.AUT2 Zertifikat. Danach (also in der aktuellen TM-Version) ist der File nur noch 30.188k groß und das Zertifikat fehlt - warum auch immer.
LÖSUNG: Den CAfile.pem austauschen, dann nochmal das Cleintzertifikat aus der KocoBox in TM importieren (siehe 2a.) fertig
=> oh wunder, jetzt läuft die TI in TM erstmal wieder AUSSER der ePA halt. (Erklärt dann auch warum einige die schon vor 11/2025 umgestellt haben hier keine Probleme haben)

4) KIM-Clientmodul: Auch hier muss das neue Konnektorzertifikat importiert werden, unter Konnektor-Konfiguration/Konnektor-Zertifikat ging bei mir (merkwürdigerweise) automatisch

==>> hier geht jetzt alles (außer ePA), habe alles getestet Karten lesen, KIM, eAU...

5) ePA: Unter "Wartung/CGM ePA/CBOX Anbindung" muss eigentlich nur die Daten neu übermitteln (Button Daten übermitteln) ABER hier kommt eine Fehlermeldung das Server-Zertifikat des Konrektor nicht ausgelesen werden kann. Die Konfiguration sein fehlerhaft. Da habe ich mir dann die Konfigurationdatein der CBOX mal angesehen (baseconfigurations.json und jwtauthentication.json) und bin in der base... fündig geworden, auch hier fehlt ein Zertifikat und zwar das "trustedServerCertificates". Da sich die KocoBox ja nicht geändert hat, habe ich dort das Zertifikat aus der alten baseconfigurations.json) mal genommen und eingesetzt.
==> hier kommt man jetzt zwar etwas weiter, es gibt jetzt eine Fehlermeldung "Das Konnektor-Dienstverzeichnis konnte nicht gelesen werden."

Da stehe ich jetzt und komme nicht weiter. Ich vermute mal, es hängt irgendwie mit dem C.CA.AUT2 brainpoolP256r1 zusammen und die CBOX nutzt ja Webserver und Browsertechnologie. Im Handbuch zur KocoBox steht ja, gängige Webbrowser können nicht mit Brainpool-Zertifakten umgehen. Eventuell wäre die Lösung, ein neues Konnektor-Zertifikat (als ersatz für C.CA.AUT2) mit ECDSA (secp256r1) zu erzeugen und dann alles darauf umzustellen. Müsste man natürlich an diversen Stellen händisch reinfummeln. Bevor ich das mache warte ich erstmal auf das TM Update 26.3.1 und ob sich hier noch etwas findet.

Schönen Sonntag noch BeRi