ECC mit kv.dox und Turbomed

Beitrag von **lcer** » Dienstag 7. Oktober 2025, 18:16

Hallo,

Hat irgendwer ECC Zertifikate mit dem KIM Clientmodul von kv.dox zum laufen bekommen? Bei mir läuft das ECC Zertifikat zwar bei Turbomed, beim kv.dox Clientmodul wird aber ein Fehler beim Zertifikatimport angezeigt. Das kv.dox Clientmodul ist auf dem aktuellen Updatestand, allerdings damals per Autoupdate.

Grüße

lcer

Aus der Anleitung zu KIM von Akquinet (kv.dox ist die Whitelabel-Lösung der KBV):

"Die Verwendung von ECC-Zertifikaten ist abhängig von der Betriebsumgebung (Betriebssystem) des Clientmoduls:
• Die durch ein ECC-Zertifikat genutzte Kurve (z.B. NIST) muss von der Betriebsumgebung des Clientmoduls unterstützt werden.
• Es können ausschließlich ECC-Zertifikate genutzt werden, deren Kurven namentlich in den Schlüsseln angegeben wurden ('named curve'). Die Verwendung von ECC-Zertifikaten mit expliziter Kurvenparametrisierung wird aktuell nicht unterstützt."

--> NIST wird wohl bevorzugt.

Beitrag von **lcer** » Samstag 11. Oktober 2025, 17:47

Hallo FortiSecond,

das ist tatsächlich das einzige was zu finden war. Aber:

Turbomed und KVdox-Clientmodul laufen auf den selben Server - haben also dieselbe Betriebssystemumgebung. Turbomed gelingt die Verbindung zum konnektor, kvdox nicht.

Mittels "certutil -displayEccCurve" kann man sich die auf dem Server möglichen ECC-Cipher-Suites anzeigen lassen. Brainpool 256bit und NIST 256bit sind dort mit aufgeführt. Trotzdem kommt es zu einem Fehler beim TLS-Handshake (protokolliert unter Windows Eventmanager quelle:SChannel). Das Ganze ist rätselhaft.

Ich habe die Registry des Servers überprüft, dort sind keine zusätzlichen Beschränkungen zu finden, die bestimmte Ciphers ausschließen könnten, der Server läuft also in "Werkseinstellungen" bezüglich TLS.

Der kvdox-Support schweigt bis jetzt.

Grüße

lcer

Beitrag von **lcer** » Montag 20. Oktober 2025, 11:52

Hallo,

Problem gelöst. Es lag an der fehlenden Aktivierung der TLS-Kurven in Windows. Grundproblem: Im Betriebssystem registrierte Kurven sind nicht automatisch aktivierte Kurven!

Anzeigen der vom System unterstützten Ciphers:

Code: Alles auswählen

PS C:\tmp> certutil -displayEccCurve
Microsoft SSL Protocol Provider:
--------------------------------
Curve Name          Curve OID                     Länge des öffentlichen SchlüsselsCurveType           EccCurveFlags
-----------------------------------------------------------------------------------------------
curve25519                                        255                 29                  0xa
nistP256            1.2.840.10045.3.1.7           256                 23                  0x7
nistP384            1.3.132.0.34                  384                 24                  0x7
brainpoolP256r1     1.3.36.3.3.2.8.1.1.7          256                 26                  0x7
brainpoolP384r1     1.3.36.3.3.2.8.1.1.11         384                 27                  0x7
brainpoolP512r1     1.3.36.3.3.2.8.1.1.13         512                 28                  0x7
nistP192            1.2.840.10045.3.1.1           192                 19                  0x7
nistP224            1.3.132.0.33                  224                 21                  0x7
nistP521            1.3.132.0.35                  521                 25                  0x7
secP160k1           1.3.132.0.9                   160                 15                  0x7
secP160r1           1.3.132.0.8                   160                 16                  0x7
secP160r2           1.3.132.0.30                  160                 17                  0x7
secP192k1           1.3.132.0.31                  192                 18                  0x7
secP192r1           1.2.840.10045.3.1.1           192                 19                  0x7
secP224k1           1.3.132.0.32                  224                 20                  0x7
secP224r1           1.3.132.0.33                  224                 21                  0x7
secP256k1           1.3.132.0.10                  256                 22                  0x7
secP256r1           1.2.840.10045.3.1.7           256                 23                  0x7
secP384r1           1.3.132.0.34                  384                 24                  0x7
secP521r1           1.3.132.0.35                  521                 25                  0x7


CNG Curves:
-----------
Curve Name          Curve OID                     Länge des öffentlichen Schlüssels
-------------------------------------------------------------------
brainpoolP160r1     1.3.36.3.3.2.8.1.1.1          160
brainpoolP160t1     1.3.36.3.3.2.8.1.1.2          160
brainpoolP192r1     1.3.36.3.3.2.8.1.1.3          192
brainpoolP192t1     1.3.36.3.3.2.8.1.1.4          192
brainpoolP224r1     1.3.36.3.3.2.8.1.1.5          224
brainpoolP224t1     1.3.36.3.3.2.8.1.1.6          224
brainpoolP256r1     1.3.36.3.3.2.8.1.1.7          256
brainpoolP256t1     1.3.36.3.3.2.8.1.1.8          256
brainpoolP320r1     1.3.36.3.3.2.8.1.1.9          320
brainpoolP320t1     1.3.36.3.3.2.8.1.1.10         320
brainpoolP384r1     1.3.36.3.3.2.8.1.1.11         384
brainpoolP384t1     1.3.36.3.3.2.8.1.1.12         384
brainpoolP512r1     1.3.36.3.3.2.8.1.1.13         512
brainpoolP512t1     1.3.36.3.3.2.8.1.1.14         512
curve25519                                        255
ec192wapi           1.2.156.11235.1.1.2.1         192
nistP192            1.2.840.10045.3.1.1           192
nistP224            1.3.132.0.33                  224
nistP256            1.2.840.10045.3.1.7           256
nistP384            1.3.132.0.34                  384
nistP521            1.3.132.0.35                  521
numsP256t1                                        256
numsP384t1                                        384
numsP512t1                                        512
secP160k1           1.3.132.0.9                   160
secP160r1           1.3.132.0.8                   160
secP160r2           1.3.132.0.30                  160
secP192k1           1.3.132.0.31                  192
secP192r1           1.2.840.10045.3.1.1           192
secP224k1           1.3.132.0.32                  224
secP224r1           1.3.132.0.33                  224
secP256k1           1.3.132.0.10                  256
secP256r1           1.2.840.10045.3.1.7           256
secP384r1           1.3.132.0.34                  384
secP521r1           1.3.132.0.35                  521
wtls7               1.3.132.0.30                  160
wtls9               2.23.43.1.4.9                 160
wtls12              1.3.132.0.33                  224
x962P192v1          1.2.840.10045.3.1.1           192
x962P192v2          1.2.840.10045.3.1.2           192
x962P192v3          1.2.840.10045.3.1.3           192
x962P239v1          1.2.840.10045.3.1.4           239
x962P239v2          1.2.840.10045.3.1.5           239
x962P239v3          1.2.840.10045.3.1.6           239
x962P256v1          1.2.840.10045.3.1.7           256

CertUtil: -displayEccCurve-Befehl wurde erfolgreich ausgeführt.

Aber - das sind nicht die aktivierten Ciphers! Daher - Anzeigen der Aktivierten Ciphers:

Code: Alles auswählen

PS C:\tmp> Get-TlsEccCurve
curve25519
NistP256
NistP384

Da fehlt die brainpoolP256r1

mit

Code: Alles auswählen

PS C:\tmp> Enable-TlsEccCurve -Name brainpoolP256r1

läßt sich die Curve aktivieren.

Alternativ kann man das per GPO machen: Computerkonfiguration/Administrative Vorlagen/Netzwerk/SSL-Konfigurationseinstellungen/ECC-Kurvenreihenfolge. Dort trägt man folgendes ein:

Code: Alles auswählen

brainpoolP256r1
curve25519
NistP256
NistP384

Die unteren 3 Einträge sind die Windows-Standarteinstellungen. Mit der dem Angeben der Reihenfolge wird die Kurve automatisch aktiviert.

Weitere Infos gibt es hier:
https://learn.microsoft.com/en-us/windo ... -and-later
https://learn.microsoft.com/de-de/windo ... mendations

Zum Schluß ist der Neustart des Servers erforderlich. Dann nimmt KV.dox auch das ECC-Zertifikat.

Die Brainpool-Kurven sind vom Europäische Varianten der ECC-Kurven und werden vom BSI empfohlen. Daher habe ich die genommen. Die NIST-Kurven sind die Amerikanische Variante und wohl daher Standarteinstellung von Windows.

Grüße

lcer

PS: Von KV.dox bisher immer noch keine Antwort auf meine Supportanfrage. Ob das Problem auch für das CGM-Clientmodul relevant ist, kann ich nicht sagen. Das Aktivieren der brainpoolP256r1 Kurve kann vermutlich aber auch dort nicht schaden.

Beitrag von **JaBa-IT** » Montag 20. Oktober 2025, 16:14

Es gibt im KV.Dox Modul unter den Einstellungen (ganz unten) den Punkt Zertifikat. Da muss man einmal auf ECC umstellen, dann gehts.

lcer hat geschrieben: ↑Montag 20. Oktober 2025, 11:52 Hallo,
Problem gelöst. Es lag an der fehlenden Aktivierung der TLS-Kurven in Windows. Grundproblem: Im Betriebssystem registrierte Kurven sind nicht automatisch aktivierte Kurven!

*omfg*.
Das hat mir gerade an anderer Stelle weitergeholfen.
Klasse Darstellung - danke!

Beitrag von **lcer** » Montag 20. Oktober 2025, 21:33

JaBa-IT hat geschrieben: ↑Montag 20. Oktober 2025, 16:14 Es gibt im KV.Dox Modul unter den Einstellungen (ganz unten) den Punkt Zertifikat. Da muss man einmal auf ECC umstellen, dann gehts.

Nein, das half bei mir nicht. Bei mir läuft das Clientmodul auf einem Windows Server 2019. Mag bei anderen OS anders sein.

Außerdem ist die Einstellung nur relevant, wenn mehrere Zertifikate zur Verfügung stehen.

Grüße

lcer

VonDoczuDoc.de

ECC mit kv.dox und Turbomed

ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Re: ECC mit kv.dox und Turbomed

Wer ist online?