VonDoczuDoc.de

Guten Abend,

wenn plötzlich im Turbomed diese Messagebox erscheint:

“Die Verbindung zum Konnektor (Kocobox) kann nicht hergestellt werden"

kann es nach leidvoller langer Analyse daran liegen, dass das TurboMed "Zugangszertifikat für Clientsysteme" abgelaufen ist.
Das geschieht ohne jegliche Vorwarnung und ohne Hinweise auf diesen Umstand potentiell mitten in der Sprechstunde.

Es betrifft potentiell alle Kocobox Benutzer, die die Anbindung an Clientsysteme "HTTPS mit Client Zertifikat" in Turbomed eingestellt haben.
Eine gute Beschreibung befindet sich in dem Dokument "Aktivierung der TLS Verschlüsselung mit Authentisierung mittels Client-Zertifikats". Leider ist aber auch dort die Gültigkeitsbegrenzung nicht beschrieben.

Wie kann man die Gültigkeit prüfen:
KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme - Gültigsdauer nur 1 Jahr


Was ist bei abgelaufener Gültigkeit zu tun (ohne Gewähr!):

KoCoBox-Managementschnittstelle - Verwaltung ClientSysteme - Zugangszertifikate für Clientsysteme
1. abgelaufenes Zertifikat löschen
2. Zugangszertifikat hinzufügen ... (für TurboMed)
3. Download *.zip

Turbomed
4. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen
5. Alte Zertifikate im Turbomed Zertifikate Verzeichnis sichern, neue entpacken und an gleicher Stelle einfügen
6. Turbomed starten - Praxisdaten - eGK - Konnektor Einstellungen - Verzeichnis einstellen - Pin Eingabe aus Datei
7. Turbomed neu als Administrator starten

Jetzt sollte die Verbindung wieder möglich sein.

Viele Grüße vom BER

Ja, das ist eine böse Falle.

Es gäbe eine Abhilfe: Zertifikate selbst mittels openssl erstellen. Dann kann man die benötigte Laufzeit vorgeben (angepasst an die Restlaufzeit des Konnektors oder der Praxis). Hat sich schon jemand mit den dafür nötigen Parametern auseinandergesetzt?

Ich war erst mal froh, es mit den konnektor-erzeugten Zertifikaten zum Laufen gebracht zu haben und wollte keine weitere potentielle Fehlerquelle einbauen. Aber der Ablaufzeitpunkt naht. Das wäre jetzt ein guter Grund, es nochmal anzugehen.

... leider ein wenig zu früh gefreut. VSDM läuft, aber eIn neuer eAU Fehler nach dem TLS Zertifikatewechsel für die Kommunikation TurboMed - KocoBox ist entstanden.

Messagebox bei eAU Versand

Fehler von CGM CONNECT:
"java.io.IOException: keystore password was incorrect"

Vmtl. Folgefehler:
"Aufgrund der fehlenden Empfangsadresse der zuständigen Krankenkasse kann die eAU nicht übermittelt werden."

Hat jemand eine Idee? Weiss jemand, ob die neue Zertifikatdatei und das zugehörige Passwort manuell auch für CGM Connect eingetragen werden muss? Wenn ja, wo genau und auf welchen Rechnern? Müssen die Zertifikatedateien auf allen clients lokal kopiert werden, auch wenn sie eigentlich vom Server genommen werden sollten?

Vielen Dank im Voraus und beste Grüße vom

BER

Lösung bei uns:

- Sicherung
- Turbomed als Administrator starten
Menü/Sonstiges/Wartung/CGM-KIM/TLS-Verschlüsselung
Entsprechenden Wartungslauf starten, TLS weiterhin aktviert lassen
- Turbomed erneut als Administrator starten
- eAU Test erfolgreich

Viele Grüße vom
BER

Detail cm.fehler.log:
[Create Konnektor using KONNEKTOR_URI='https://XXX.XXX.XXX.XXX/connector.sds']
alt [error in reading keys for cert-based konnektor authentication]
neu: [Konnektor object successfully created]

2 Punkte sollten noch beachtet werden, die mich viel Zeit gekostet haben:

1. Die Namen der Clients für die die Kocobox die Zertifikate erstellt sind case sensitive! So ist 'turbomed' nicht gleich 'Turbomed' oder 'TurboMed'.

2. Die Passwörter, die die Kocobox für die Zertifikate erstellt dürfen bestimmte Sonderzeichen NICHT enthalten, weil sonst die KIM Anbindung nicht klappt. Hier im Forum hatte ich folgende Sonderzeichen gefunden, die Probleme machen sollen: ^,!,%,&,%,@. Folgende Sonderzeichen machen aus eigener Erfahrung keine Probleme: _,# (gerne bitte ergänzen). Wenn das Passwort für das erzeugte Zertifikat die falschen Sonderzeichen enthält, dann wieder in der Kocobox löschen und solange wieder neu erstellen lassen, bis ein Passwort generiert wird, das problemlos verwendet werden kann.

Viele Grüße aus Elmshorn

% und ! sollten eigentlich keine Probleme machen, $ & / \ sind wohl problematisch und können nur per Kopfstand genutzt werden ("Escapen").

Aber:
Für Zertifikate mit (für TM und CGM-KIM) unzulässigen Passwörtern gibt es noch einen brutalen Trick.

Doppelklick, Zertifikat "exportfähig" in Windows installieren (eigene...), danach dann in certmgr.msc (Windows-Zertfikatverwaltung) zum Zertifikat navigieren und dies exportieren. Und zwar mit dem privaten Schlüssel. Dort ist ein neues Zertfikatskennwort einzugeben. Das kann sogar 00000000 lauten. Es sollte aber eine gewisse Sicherheit bieten und ohne die besonderen Zeichen auskommen. *

Dieses bei gut gewähltem Kennwort weiterhin sichere Zertifikat lässt sich dann stressfrei nutzen.
Ob sich der Aufwand lohnt? Ein besser einzugebendes Kennwort ist immer nett. Sicherheit? Viele DVO speichern das Zertifikat samt .txt mit dem Klartextkennwort auf dem Systemlaufwerk. Ohnehin wird beim Laden/Öffnen der ZIP vom Konnektor das Passwort irgendwo im TEMP abgelegt. Streng betrachtet ist es damit bereits kompromittiert. Also ist ein abseits notiertes Kennwort nicht weniger sicher.


* = Hier lässt sich zum Beispiel ein angenehmes Passwort mit 18 Zeichen und "Aussprechbar" generieren: https://www.datenschutz.org/passwort-generator/

Jetzt hat mich auch erwischt, Zertifikate abgelaufen, Fehlermeldung: Verbindung zum Konnektor kann nicht hergestellt werden.
Muss wohl die Zertifikate neu erstellen.
Muss ich auch KIM De- und Re-registrieren ? Oder nur Zertifikate löschen und neu einfügen.
Danke

Liegt die Gültigkeit immer noch bei einem Jahr?

In der KoCoBox-Managementschnittstelle -> Verwaltung -> Clientsysteme lese ich für das Clientsystem-RSA-2048-Zertifikat (TurboMed & caTurboMed) eine Gültigkeitsdauer "notBefore = ... 2023", "notAfter = ... 2028".

Das klingt wie 5 Jahre Gültigkeit?

Ich würde ungern mehr Aufwand treiben, als ohnehin schon notwendig.

Danke für eine kurze Rückmeldung, viele Grüße von DocET.