TI-Dienste TurboMed: 1. Gruß im neuen Jahr + Ausfall Kartenleser

[SFeu]

Erste Meldung TM beim Aktivieren der Komfortsignatur:
"Es ist ein Fehler aufgetreten....wenn Sie einen durch die CGM bereitgestellten TI-Anschluss...blabla..."

Das ist ja mal ein schöner Start.
Allen Kollegen wünsche ich ein stressarmes 2025.

[Evelin]

Bei mir gestern auch erstmal die gleiche Fehlermeldung..(bin gestern extra in die Praxis gefahren um nach dem Datumwechsel sicher zu gehen,dass der ganze M... auch funktioniert; hatte mir schon gedacht, dass es bei TM oder Gematik wieder hakt und bin nicht "enttäuscht" worden).

Erst nach komplettem Neustart ging es dann.

Heute Morgen fehlerfreie Funktion von TM und Gematik.

Grüße

Evelin

[Landarzt21]

Bei mir kommt vom Hauptkartenleser keine Verbindung zustande (Netzwerksymbol nicht gelb) anzupingen geht das Gerät.
Beim manuellen Einspielen des neuen Zertifikates auf dem Konnektor bekomme ich eine Fehlermeldung von wegen Sicherheitsstandard 2025 nicht mehr akzeptiert: Eigentlich relativ ähnlich wie hier schon zum Jahreswechsel 22/23 beschrieben: https://www.borncity.com/blog/2023/01/0 ... nuar-2023/

der Konnektor wurde im April 2022 neu installiert und sollte eigetlich nicht von auslaufenden Zertifikaten betroffen sein. Nachdem ich nun alles neugestartet sagt die Kocobox dass sie zu keinem der Kartenleser eine Verbindung aufbauen kann. Bin relativ Rat und Machtlos. Kann mir jemand da helfen, wäre sehr dringlich bei vollen Sprechstunden....

[Forti]

Untersuche am Abend die Gründe.

Ich vermute, dass die Kocobox ein Problem mit gSMC-KT der "alten Generation" hat: Hier betrifft es in diversen Praxen exklusiv ORGA-Geräte mit gSMC-KT, deren Laufzeit in diesem Halbjahr endet.

Ohne gerade genau recherchieren zu können (komme erst am Abend nach längerer Abwesenheit nach Hause), meine ich mich erinnern zu können, dass Ende 2025 keine RSA-2048-Verschlüsselung verwendet werden darf laut gematik-Spezifikation. Irgendwas mit Migration auf 4096 Bit war da.
Bisher habe ich nur Meldungen im Kontext ORGA+ORGA gSMC-KT mit Ablauf 1. Hj. 2025 + lokale Kocobox (5.1).

Diverse PVS sind betroffen, haben damit auch nicht direkt zu tun (oder doch? Client-Zertifikat Konnektor?).
Bei Secunet- und RISE-Konnektoren scheint das keine Rolle zu spielen - die beiden Kombis habe ich auch im Bestand - mit nahendem Ablaufdatum des Geräteausweises - und auf Nachfrage nur fehlerfreie Funktion gemeldet bekommen.

Idee, die ich nachher teste (vielleicht können Sie zuvorkommen):
KT entpairen (im Gerät Pairing-Blöcke löschen, im Konnektor manuell Status ändern von aktiv -> gepairt -> bekannt), frische gSMC-KT ins betroffene Terminal, neu pairen, schauen, was passiert.
Als Gegenprobe dann in einem anderen betroffenen Gerät "nur" mit der alten Karte drin entpairen und neu pairen.

[Forti]

Nachtrag: Mit Konnektor-Update 5.1.12 gibt´s die Infomeldung SECURITY "Das...Authentifizierung...Clientsystem...Zertifikat...Sicherheitsniveau von weniger als 120bit...Zu verwenden...RSA-Zertifikat....mindestens 3.000bit Schlüssellänge...oder...ECC-Zertifikat."

Wobei man bisher meist 2.048er-Schlüssellängen hatte und nun 3.072 oder 4.096 nehmen sollte. Oder gleich ECC, wenn das PVS damit umgehen kann.
3.072 + TM = Funktion kann ich bestätigen.

Aber das ist nur "INFO", keine Warnung oder Error. Ende 2025 hingegen dürfte es zu ERROR werden.
Somit ist es doch noch einmal nötig, für das PVS, KIM-CM, ggf. auch HAV-Portal-Client (Gradient Kartenleserhost) usw. ein neues Zertifikat anzubieten.

Mal sehen, wie es mit diesem Topic zusammenhängt. Nach Prüfung wird ggf. ein eigener Thread draus.

So, bin noch unterwegs. Nachher dann die Kartenleser neu anbinden (bisher drei sicher betroffene Praxen) und Clientzertifikat erneuern. Danach dann an die vielen "Nicht-Nofall-E-Mails" der letzten Wochen ran. Und eine besondere E-Mail. Danach geht´s dann normal weiter, hoffentlich auch mit Wiki und Co.

[Landarzt21]

Problem an dieser Stelle wirklich mal mit der TI Hotline gelöst. Mein Konnektor hat sich das neueste FW Update auf 5.5.12 nicht automatisch gezogen gehabt. Mit Servicemann per Fernwartung manuell eingespielt. sonst nix geändert nun geht wieder..
Habe alles auf Autoupdate - mir wurde wohl eine alte Hardwareversion im April 2022 verkauft. Aktuell ist wohl 4.0 ich habe 2.0 spannend ob jemand der zum gleichen Zeitpunkt gekauft hat eine neuere bekommen hat
So krass, da kann man 0 dafür und eigentlich auch nichts machen da man die FW Dateien nicht frei zugänglich bekommt.....

[SFeu]

Bei uns entkoppelt sich ein Gerät regelmäßig aller paar Wochen und erfordert neues Pairing, es
ist aber über USB/Netzwerkbrücke angeschlossen.
Heute half ein einfacher TM-Neustart und der Praxiswahnsinn konnte ohne PVS-Behinderung beginnen.

[Forti]

!!! Interessant: Eine betroffene Kocobox hat nach Update von 5.1.10 auf 5.1.12 die drei fehlenden Kartenterminals mit gSMC-KT-Ablauf im Mai 2025 wiedergefunden, spricht sie an und... alles läuft anscheinend. Das vierte KT hat eine aktuellere gSMC-KT und war die ganze Zeit über OK.

Hmmmmm... 5.1.10 ist aber noch zugelassen, und die gSMC-KT sind auch noch OK. Hat die Kocobox 5.1.10 hier zu früh zugeschnappt? Weiß CGM darum und hat deshalb die Briefe mit "Bitte Update installieren" an Praxen mit Kocobox-Firmware 5.1.10 verschickt?

Dann wäre es natürlich für alle (inkl. Support) ganz toll gewesen, das auch so zu kommunizieren. Kann man ja auch kreativ formulieren, damit es nicht nach einem Bug aussieht: "Das Update stellt sicher, dass auch Kartenleser mit geringer Restlaufzeit der gSMC-KT nach dem 1.1.25 weiterhin funktionieren. So ist sichergestellt, dass Sie genügend Zeit haben, diese im Rahmen der von der gematik gesetzten Frist (31.12.25) zu erneuern."

Mal sehen, wie es bei der zweiten Praxis nachher aussieht.

[Forti]

Ups, da kam der Anruf (nach Update-Anstubs per Fernwartung):
Nach Update der Kocobox (5.1.10 auf 5.5.12) nun alle KT wieder da, SMC-B + eHBA da, Komfortsignatur OK, eAU gehen raus.
Na dann... Prosit Neujahr

[Landarzt21]

Nur eines habe ich den netten Mann vergessen zu fragen: wie sieht das beim nächstem Update der K-Box aus?

[Landarzt21]

Nachtrag: Mit Konnektor-Update 5.1.12 gibt´s die Infomeldung SECURITY "Das...Authentifizierung...Clientsystem...Zertifikat...Sicherheitsniveau von weniger als 120bit...Zu verwenden...RSA-Zertifikat....mindestens 3.000bit Schlüssellänge...oder...ECC-Zertifikat."

Wobei man bisher meist 2.048er-Schlüssellängen hatte und nun 3.072 oder 4.096 nehmen sollte. Oder gleich ECC, wenn das PVS damit umgehen kann.
3.072 + TM = Funktion kann ich bestätigen.

Aber das ist nur "INFO", keine Warnung oder Error. Ende 2025 hingegen dürfte es zu ERROR werden.
Somit ist es doch noch einmal nötig, für das PVS, KIM-CM, ggf. auch HAV-Portal-Client (Gradient Kartenleserhost) usw. ein neues Zertifikat anzubieten.

Mal sehen, wie es mit diesem Topic zusammenhängt. Nach Prüfung wird ggf. ein eigener Thread draus.

So, bin noch unterwegs. Nachher dann die Kartenleser neu anbinden (bisher drei sicher betroffene Praxen) und Clientzertifikat erneuern. Danach dann an die vielen "Nicht-Nofall-E-Mails" der letzten Wochen ran. Und eine besondere E-Mail. Danach geht´s dann normal weiter, hoffentlich auch mit Wiki und Co.

genau das bekomme ich jetzt auch gemeldet, wäre an einer gemeinsamen Lösung des Problems interessier, die wir dann auch Schritt für Schritt hier festhalten. Aber da das ganze dann ja auch immer wieder laufen muss am Ende mache ich es ungern alleine....

Auch Spannend, mit der neuen Firmware gibt es jetzt einen neuen Reiter im Bereich Zertifikatsdienst der sich nenn Laufzeitverlängerung. Vielleicht behebt dies mein Problem dass ich diese zuletzt immer manuell einspielen musste...

[FortiSecond]

Nachtrag: Mit Konnektor-Update 5.1.12 gibt´s die Infomeldung SECURITY "Das...Authentifizierung...Clientsystem...Zertifikat...Sicherheitsniveau von weniger als 120bit...Zu verwenden...RSA-Zertifikat....mindestens 3.000bit Schlüssellänge...oder...ECC-Zertifikat."

Wobei man bisher meist 2.048er-Schlüssellängen hatte und nun 3.072 oder 4.096 nehmen sollte. Oder gleich ECC, wenn das PVS damit umgehen kann.
3.072 + TM = Funktion kann ich bestätigen.

Aber das ist nur "INFO", keine Warnung oder Error. Ende 2025 hingegen dürfte es zu ERROR werden.
Somit ist es doch noch einmal nötig, für das PVS, KIM-CM, ggf. auch HAV-Portal-Client (Gradient Kartenleserhost) usw. ein neues Zertifikat anzubieten.

Mal sehen, wie es mit diesem Topic zusammenhängt. Nach Prüfung wird ggf. ein eigener Thread draus.

So, bin noch unterwegs. Nachher dann die Kartenleser neu anbinden (bisher drei sicher betroffene Praxen) und Clientzertifikat erneuern. Danach dann an die vielen "Nicht-Nofall-E-Mails" der letzten Wochen ran. Und eine besondere E-Mail. Danach geht´s dann normal weiter, hoffentlich auch mit Wiki und Co.

genau das bekomme ich jetzt auch gemeldet, wäre an einer gemeinsamen Lösung des Problems interessier, die wir dann auch Schritt für Schritt hier festhalten. Aber da das ganze dann ja auch immer wieder laufen muss am Ende mache ich es ungern alleine....

Auch Spannend, mit der neuen Firmware gibt es jetzt einen neuen Reiter im Bereich Zertifikatsdienst der sich nenn Laufzeitverlängerung. Vielleicht behebt dies mein Problem dass ich diese zuletzt immer manuell einspielen musste...

Die Info-Meldung besagt, dass das Zertifikat für Turbomed bis Jahresende erneuert werden soll, auch wenn es noch länger gültig sein sollte.
Bedeutet, solange CGM/Kocobox den Konnektor nicht "an den Stand der Technik anpasst" *:

- Firefox Portable, alte Version (!) schnappen. Leider nicht mehr im Downloadbereich beim Herausgeber, also aus dem eigenen Archiv (hrhr) oder einer unsicheren Quelle zu beziehen. Denn andere Wege, das Zertifikat im nächsten Schritt zum Download zu bekommen, sind mir nicht bekannt.
- In der Konnektor-Oberfläche ein neues Clientzertifikat erstellen (für TurboMed)
- ZIP auspacken
- Kennwort in die Zwischenablage nehmen
- TM am Server (als Admin?) starten
- In Praxisdaten/eGK dieses Zertifikat importieren (mit Angabe des Passworts)
- TM neustarten, auf erfolgreiche Konnektorverbindung hoffen

Das selbe Zertifikat müsste dann - je nach Clientmodul - für KIM importiert werden. Bei kv.dox in jedem Fall in dessen Oberfläche, ebenso bei CGM KIM 1.5 als Stand-Alone, und bei CGM-KIM-via-TM hoffe ich mal, dass TM das an das CM weitergibt. Denn man hat ja nicht ohne Weiteres die Super-PIN für das Clientmodul zur Hand...

Laufzeitverlängerung mehrfach? Ist mir neu, interessiert mich sehr.

[CGM-FTW]

Es gibt keine Software 5.5.10. Vermutlich ist 5.1.10 gemeint.

Du kannst mit jedem Browser ein Zertifikat generieren, wenn du das folgende JavaScriptlet nutzt:
viewtopic.php?t=10715

Hat der Kocobox Product Owner der CGM sogar offiziell für L2 und DVOs in einer Rundmail freigegeben. (Ohne meinen Namen unter das Script zu schreiben natürlich)

Klappt auch mit den Logs:
viewtopic.php?t=10745

[FortiSecond]

Es gibt keine Software 5.5.10. Vermutlich ist 5.1.10 gemeint.

Ei, stimmt. Danke für den Hinweis.
Ich habe alle betreffenden Fundstellen in diesem Thread korrigiert.

Du kannst mit jedem Browser ein Zertifikat generieren, wenn du das folgende JavaScriptlet nutzt:
viewtopic.php?t=10715

Hat der Kocobox Product Owner der CGM sogar offiziell für L2 und DVOs in einer Rundmail freigegeben. (Ohne meinen Namen unter das Script zu schreiben natürlich)

Klappt auch mit den Logs:
viewtopic.php?t=10745

Stimmt, das erleichtert die Sache ungemein. Ich muss die Tage unbedingt das Wiki eröffnen, um dort die Anleitungen aufzulisten.
Gibt die Hotline das Script eigentlich raus?

Dass man keine Credits gibt, halte ich für eine moderne Unart. Toppen kann das dann nur noch - bei Nachfrage - die Ausrede "Datenschutz".
Aber hey, wir sind nichts Besseres mehr gewohnt. Ich war lange in der Musikindustrie unterwegs - ähnliches Gebaren allerorts.

[FortiSecond]

Nachtrag: Von 5.1.10 auf 5.5.12. Eben die nächste Box auf den Zettel bekommen.
Übrigens: Auto-Update war aktiviert. War der Box offenbar egal

ScreenShot4623.jpg

[FortiSecond]

Und jetzt habe ich eben als Notfall eine Konstellation in Vertretung übernommen, wo der die Kocobox mit 5.1.10 und ORGAs wunderbar arbeitet.
Kein Ausfall, nix. Komfortsignatur etc. alles fein.
Kartenleser ließen sich updaten, SMC-B und eHBA funktional.

Wie kann das funktionieren?!
Diese Praxis arbeitet mit einem "Nicht-CGM-PVS".
Aber was sollte TM am Konnektor verdrehen, dass dort zwingend 5.5.12 nötig wäre?

Ach so... Notfall? Ja, Kollege steht wie Ochs vorm Berg, weil er CGM KIM CM (1.0) auf 1.5 bringen will. Sonst macht er nur Akquinet/kv.dox, der Glückliche.

Na, mal schauen...

[Randolf]

Ja, Kollege steht wie Ochs vorm Berg, weil er CGM KIM CM (1.0) auf 1.5 bringen will. Sonst macht er nur Akquinet/kv.dox, der Glückliche.

Wie ist das zu verstehen, da nutzt wohl in dem geschilderten Fall das nicht CGM PVS ein CGM KIM ? ? Ansonsten braucht man doch wenn man kv.dox nutzt ,eigentlich kein CGM KIM ? ,
Unter KV.dox KIM lief bei uns auch TurboMed vielleicht nicht perfekt aber im Wesentlichen (bis auf bekannte gelegentliche Abstürze- welche es auch vor der TI ja schon gab) problemfrei. Da war eher der ,oft am Montag früh "überlastete ? " medesign SMCB Account die ( mögliche ?) Ursache von Störungen.

[CGM-FTW]

Stimmt, das erleichtert die Sache ungemein. Ich muss die Tage unbedingt das Wiki eröffnen, um dort die Anleitungen aufzulisten.
Gibt die Hotline das Script eigentlich raus?

In der E-Mail, die mir weitergereicht wurde, war das die offizielle Order.
Das heißt aber in großen Läden natürlich nicht, dass es jeder macht oder nutzt.

Ich hatte eigentlich nur angefangen, solche Sachen mit Bookmarklets zu lösen, weil ich für das Konnektor Backup in Python eins auf den Deckel bekommen habe. Da dachte ich mir: Für nen Bookmarklet könnt ihr mir nicht mehr ans Bein pinkeln, aber mit der Herausgabe weiterer Tools in Javascript ich dem Product Owner. Das war mir eine Genugtuung und eh man sich versieht, ist es der offizielle Workaround.
Was solls, ich lasse mich am liebsten mit Geld bezahlen und nicht mit nem feuchten Händedruck. Und solange das Geld passt, ist mir egal, was die mit meinen Tools machen.