Hilfe, Telematik tot, kv.dox und ECC

[torsten2]

Ich habe heute mit meinem DVO auf ECC umgestellt. Jetzt kommt im TM eine Fehlermeldung und die Verbindung zum Konnektor klappt nicht. Mit NIST und Brainpool nicht. Es würde stehenbleiben, weil KIM nicht geht, d.h. Kv.dox. Ich kann keine Zertifikate im kv.dox Clientmodul importieren. Der DVO kennt sich mit kv.dox leider nicht aus:

kvdox.png

Morgen ist voll bestellt und wir können nicht mal Karten einlesen. Kann jemand helfen??

[Lazarus]

Ich würde es wieder auf RSA umstellen, beide Zertifikate sollten in der Kokobox hinterlegt sein

[CGM-FTW]

Ich bin mir sehr sicher, dass die Kocobox definitiv unter der gleichen Clientsystem-ID _keine_ zwei Zertifikate (ECC und RSA) gleichzeitig speichert.
Um das eine zu generieren, muss man das andere löschen.

Ich würde bei der CGM Hotline anrufen. Ist ja mal wieder der Hammer, das ein CGM DVO nicht weiß, wie man das eigene System bedient.
Zum Glück arbeite ich in dem Laden nicht mehr.

[Lazarus]

Seltsam, bei uns kann man in der Kocobox unter Verwaltung/Clientsysteme zwischen RSA und ECC hin und her auswählen

[lcer]

Nach dem umstellen vom rsa auf das ecc Zertifikat muss man die kokobox neu starten.

Grüße


lcer

[torsten2]

Für die CGM ist kv.dox ein Fremdanbieter. Was halt nicht geht ist, daß der Import des ECC fehlschlägt, weil KIM nicht funktioniert. Das ist doch unerheblich. So könnte man wenigstens eGK einlesen, eRP würde gehen. Auf die eAU und den eAB könnte ich auch eine Weile verzichten.

Ich habe noch etwas rumgebastelt und den secP256r1 enabled und mit den Gruppenrichtlinien diesen ganz nach oben gestellt.

PS C:\WINDOWS\system32> Get-TlsEccCurve
secP256r1
brainpoolP256r1
curve25519
NistP256
NistP384

jetzt geht das Client-Modul und der kv.dox Mailclient. Der Import des Zertifikates in TM hat immer noch einen Fehler 500 geworfen. Ich habe trotzdem gespeichert und nach einem Neustart von TM war das Telematik-Symbol plötzlich grün.

Vielen Dank für Euren Beistand!!!!

Ich habe noch Fragen:
1.
Wenn ich doch jetzt ein solches Zertifikat habe:

konnektor5.png

warum bekomme ich im Status vom Konnektor immer noch einen Fehler angezeigt:

konnektor2.png

Der Konnektor sollte doch mit seinem selbst generierten Zertifikat glücklich sein??

2.

Ich habe verstanden, daß der eigentliche Sinn der Veranstaltung ist, daß man folgenden Schalter auf ECC stellen kann und sich der Konnektor dann nurmehr mit ECC Zertifikaten meldet:

konnektor4.png

Wenn ich in VPN Zugangsdienst bereits RSA und ECC stehen habe:

konnektor3.png

Fliegt mir dann beim Umstellen die TI VPN weg und wie melde ich das ggf. wieder an?
Das werde ich wohl einige Tage rausschieben und erstmal durchatmen.

[FortiSecond]

@torsten2
Das Zertifikat zur Authentifizierung des Clientsystems ist unabhängig vom VPN-Zugangsdienst.
Letzterer wird registriert per SMC-B und mit dessen Zertifikat(en bei RSA+ECC).
Es kann also klappen, den Rest auf ECC umzustellen. Die TI-Anbindung selbst wird davon nicht beeinflusst.

Allerlei Kombinationen sind "unterwegs" möglich, sei es "Kartenleser per ECC, TM+KIM per RSA, VPN mit ECC".

KV.DOX kann ECC seit einiger Zeit. TM dem Anschein nach einige Sorten ECC (wobei ich mit Secunet... ach lassen wir das).
Bei KV.DOX ist es allerdings wohl so, dass man nach dem Umstellen auf ECC-Zertifikat (Clientauth am Konnektor) zusätzlich noch einmal ein Zertifikat für das Clientmodul beschaffen muss. Dafür muss man sich im Clientmodul mit der KIM-Adresse anmelden. Erst dann geht´s an diese Details.
Beim CGM KIM ist es ebenfalls möglich, ein neues Zertifikat vom (Post-)Fachdienst zu holen.

[lcer]

Hallo,

2.

Ich habe verstanden, daß der eigentliche Sinn der Veranstaltung ist, daß man folgenden Schalter auf ECC stellen kann und sich der Konnektor dann nurmehr mit ECC Zertifikaten meldet:

konnektor4.png

Das Umschalten bewirkt, dass dort der Konnektor nach einem Neustart zur Authentifizierung gegenüber einem Clientsystem das ECC Zertifikat zeigt. Das ist quasi das Zertifikat des internen Webservers der Kocobox. Das kann man dann auch im Browser über den SHA256 Fingerprint überprüfen. Das Serverzertifikat wird auch von der CBOX bei der Konfiguration ausgelesen und bei jedem Zugriff überprüft. (Das hat bei mir aber nicht funktioniert).

Die Pairing-Infos mit gepairten Terminals werden hingegen nicht verändert, ein "Mischbetrieb" scheint da möglich.

Grüße

lcer

[torsten2]

Es funktioniert doch nicht alles, die ePA geht nicht mehr und TM kommt dann aus der Schleife auch nicht mehr raus. Dabei ist das neueste TM Update noch nicht installiert. Bin auch auf 25.4.1.6727

epa2.png

Dabei ist nur die Anbindung an TM und kv.dox neu. Das untere Zertifikat, was Icer erwähnte, ist noch auf RSA wie vorher.

Wie bekommt man das wieder zum Laufen?

[torsten2]

Update: Man muß die Daten in der CBOX nochmals übermitteln lassen, dann funktioniert es wieder. Das eRp ging gleich wieder.
Jetzt geht KIM immer noch nicht. Aus dem kv.dox Mailclient funktioniert es jedoch. TM meldet bei der eAU Versandfehler. Wenn ich aus dem Nachrichtencenter eine schicken möchte, kommt falsches Passwort. Wird das gelöscht bei der Umstellung der Zertifikate?? Hatte das jemand schon, sonst heißt es bei mir wieder, Drittanbieter unterstützen wir leider nicht.
Nix läuft nach der Umstellung ohne es manuell nachzubearbeiten...

[fschmidt]

Hallo Torsten2 et al.,
wenn ich das jetzt richtig verfolgt habe, ist es dir gelungen die aktuelle Turbomed Version (25.4.2.xx) und ECC statt RSA zu verwenden, oder? Kannst du grob Schritt für Schritt auflisten, was bei dir zum Erfolg geführt hat - also was waren Änderungen in der Kocobox und was in Turbomed etc?
Das wäre sehr hilfreich, da es im Moment über verschiedene Threads verschiednen Ansätze und Schritte zum Nachlesen gibt, aber nicht ganz klar ist, was letztlich zum Erfolg führte..
Vielen Dank!

[torsten2]

Ich bin noch auf der 25.4.1.6727, mir ist von der aktuellen Version abgeraten worden. Ich werden erst Ende Dez. die nächste installieren. Ich habe jetzt ohnehin 3 Wochen Urlaub.

[fschmidt]

Ok. Hier im Forum klang es nicht so negativ bzgl. 25.4.2

Was war der Hauptgrund noch nicht zu wechseln? Dass ECC dann hier doch noch niemand mit 25.4.2 verwendet?

Und: schönen Urlaub

[torsten2]

Der Hauptgrund war, daß Icer geschrieben hat, daß die CBOX nicht funktioniert und damit die ePA nicht. Außerdem sollte wohl der ldaps nicht funktionieren. Das ist mein Kenntnisstand.

[Grummel]

Update: Man muß die Daten in der CBOX nochmals übermitteln lassen, dann funktioniert es wieder. Das eRp ging gleich wieder.
Jetzt geht KIM immer noch nicht. Aus dem kv.dox Mailclient funktioniert es jedoch. TM meldet bei der eAU Versandfehler. Wenn ich aus dem Nachrichtencenter eine schicken möchte, kommt falsches Passwort. Wird das gelöscht bei der Umstellung der Zertifikate?? Hatte das jemand schon, sonst heißt es bei mir wieder, Drittanbieter unterstützen wir leider nicht.
Nix läuft nach der Umstellung ohne es manuell nachzubearbeiten...

Soweit ich mich erinnere, muß im KV.DOC Clientmodul unter Verwaltung ganz unten eingestellt sein, das ein ECC-Zertifikat verwendet werden soll. Dann sollte auch die KIM wieder funktionieren, wenn man das ECC-Zertifikat importiert hat. Und es stimmt, der Konnektor verwaltet nur ein Zertifikat pro Praxissoftware.

[leon29]

Hallo Torsten2 et al.,
wenn ich das jetzt richtig verfolgt habe, ist es dir gelungen die aktuelle Turbomed Version (25.4.2.xx) und ECC statt RSA zu verwenden, oder? Kannst du grob Schritt für Schritt auflisten, was bei dir zum Erfolg geführt hat - also was waren Änderungen in der Kocobox und was in Turbomed etc?
Das wäre sehr hilfreich, da es im Moment über verschiedene Threads verschiednen Ansätze und Schritte zum Nachlesen gibt, aber nicht ganz klar ist, was letztlich zum Erfolg führte..
Vielen Dank!

Bei einer ECC-Umstellung oder Neuimport von Zertifikaten kann das gespeicherte Passwort im PVS / TM ungültig werden oder gelöscht sein.

Der Zugang zum KIM-Postfach ist zertifikats- und passwortgebunden.
Das Zertifikat (bzw. der Schlüsselbund) wurde ausgetauscht → möglicherweise wurde das Passwort nicht übernommen.
TM / PVS merkt das erst beim Versand, nicht beim Start.

[MeinerEiner]

Bei uns hat das auch nicht funktioniert. Nicht nur, dass das ECC Zertifikat beim Einlesen schon eine Fehlermeldung bringt. Auch die C-Box meckert, dass er keine Verbindung zum Konnektor hat, obwohl Kartenlesen und KV-Dox funktionieren.

Dann wollte ich zurück bauen auf RSA aber auch das will plötzlich nicht mehr funktionieren. Die C-Box bringt zwar keine Fehlermeldung mehr, aber bei den Konnektor Einstellungen meckert er beim Speichern der Einstellungen.

Einfach nur eine Katastrophe. Die Hotline in Koblenz hat keine Idee und der Turbomed Partner meldet sich nicht zurück.

Na ob das alles bis zum 31.12. fertig wird, wage ich zu bezweifeln

[FortiSecond]

@MeinerEiner
Hier braucht die CBOX einen Reset, weil in einer der .json-Dateien die verschlüsselten Zugangsdaten für den IDP nicht neu geschrieben werden.
Ordner wegsichern, die .json löschen, CBOX neustarten, in TM neu einrichten. Ich meine, das ist alles.