Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Antworten
avd
Beiträge: 97
Registriert: Samstag 9. Februar 2019, 23:13
7
Hat sich bedankt: 15 mal
Hat Dank erhalten: 3 mal

Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von avd »

Habe es leider geschafft aus einem vermutlich kleinen ein für mich ziemlich großes Problem zu machen:

Nach Update von TM (auf 26.3.1) und der KoCoBox auf (6.0.8 ) gingen eRezept und eAU auf einmal nicht, es kam die Meldung:
"Die Authentifizierung der Praxis konnte aufgrund eines unerwarteten Fehlers mit dem Fehlercode: -29 nicht durchgeführt werden".
Leider habe ich im Verlauf in der KoCoBox-Managementschnittstelle --> Verwaltung --> Clientsysteme unter Authentifizierung Konnektor von C.AK.AUT (RSA 2048) auf C.AK.AUT2 (ECDSA brainpoolP256r1) umgestellt und bestätigt, anschließend verschwand das C.AK.AUT-Zertifikat.

Ich kann jetzt zwar neue ECC bzw. RSA-Zertifikate erstellen aber diese werden nicht akzeptiert nach Einfügen unter D:\TurboMed\Zertifikate\Konnektor falls das überhaupt die korrekte Stelle ist. Der Konnektor wird durch TM nicht mehr gefunden. Eine Verbindung zum Konnektor ist nur möglich, wenn in TM "HTTPS ohne Authentifizierung" eingeschaltet ist. Damit geht aber ePA nicht mehr.

Kann mir bitte jemand helfen, den ursprünglichen Zustand wiederherzustellen bzw. eine Alternative einfach verständlich erklären?

Eine Frage noch zu meinem ursprünglichen Problem mit dem eRezept und eAU-Fehler, welches vor den Updates jeweils nicht bestanden:

Kann es an meiner SMC-KT 460_4.4.1 liegen, welche aktuell kein "Valid" im Zertifikatsstatus aufweist (Bild siehe unten)? Ich habe deren Status im Kartenterminal abgerufen, eigentlich müsste sie sowohl RSA (AUT) als auch EC (ist hinter AUT2 vermerkt) können, hat aber Ablauf 2027...?

Anbei noch Screenshots der KoCoBox-Konfiguration (allerdings bevor das C.AK.AUT-Zertifikat verschwand).

Übrigens, falls das einen Unterschied macht, die alten Dateien CAFile.pem und DHFile.pem aus D:\TurboMed\Zertifikate\Konnektor habe ich noch, aber kann sie nicht in die KoCoBox importieren. Könnte man evtl. das Zertifikat aus einem früheren Backup der KoCoBox (aber alte Firmware) importieren?

Vielen herzlichen Dank für Hilfe zu meinen Fragen.
Kartendienst.jpg
Clientsysteme.jpg
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
FortiSecond
Beiträge: 1383
Registriert: Dienstag 2. August 2022, 21:30
3
Hat sich bedankt: 644 mal
Hat Dank erhalten: 484 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von FortiSecond »

Kurz, weil Halbschlaf:

Alles halb so wild auf ersten Blick:

1) SMC-KT ist OK (4.6.0).

2) Das Zertifikat will TM anders kennenlernen:
Sonstiges/gematik/Konnektor Einstellungen
Dort unten neben dem Papierkorb auf das Ordnersymbol gehen und dann das neue vom Konnektor ausgegebene Zertifikat auswählen.
Dabei wird das Passwort für das Zertifikat abgefragt.
Danach "Übernehmen" und TM neustarten.
Screenshot 2026-07-01 030027.png
Zumindest die grundlegenden Funktionen wie eGK einlesen mit VSDM sollten sofort wieder funktionieren.
CGM-KIM dürfte von TM automatisch versorgt werden mit dem neuen Zertifikat, wenn es über TM verwaltet. Bei Stand-Alone-KIM (CGM, kv.dox etc.) muss es wiederum in KIM als neues Clientzertifikat importiert werden. Dabei dann auch das neue Konnektorzertifikat auslesen lassen. Manchmal braucht´s dann trotzdem eine Re-Registrierung der KIM-Adresse.

Und dann wäre da noch die Nummer mit IdP und ePA-Config wegen ECC.
Aber erstmal das da oben, damit´s weitergeht. :-)

Gute n8
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
--
42
avd
Beiträge: 97
Registriert: Samstag 9. Februar 2019, 23:13
7
Hat sich bedankt: 15 mal
Hat Dank erhalten: 3 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von avd »

Lieber FortiSecond: Allerbesten Dank für die Hilfestellung, ich muss mein Problem aber etwas genauer beschreiben:

- Sonstiges/gematik/Konnektor Einstellungen ist die Stelle an der man das TurboMed-Zertifikat [Zertifikat für Authentisierung Clientsystem] als *.p12 + Passwort eingibt. Das habe ich bereits durchgeführt.

- Allerdings habe ich ein größeres Problem geschaffen, indem ich das gültige RSA-Zertifikat für "Authentisierung des Konnektors" gelöscht habe C.AK.AUT (RSA 2048). Dadurch findet TM bereits im Startvorgang ("Starte Verbindung Konnektor" die KoCoBox nicht, sofern "HTTPS mit Client Zertifikat eingestellt ist". Es geht nur über "HTTPS ohne Authentifizierung".

- Ich kann zwar aus der KoCoBox das C.AK.AUT2-Zertifikat ECDSA (brainpoolP256r1) exportieren als "C.AK.AUT2.pem" oder ein neues RSA-Zertifikat erstellen und exportieren (ZIP mit 2 Dateien: "C*.pem" und "caC*.pem"), aber ich weiß leider nicht, wo ich diese Zertifikate in TurboMed und ggf. CGM-KIM hinterlegen kann, damit TM diese annimmt und wieder die KoCoBox findet.

- Es ist quasi das Problem, was in https://vondoczudoc.de/viewtopic.php?p=72660#p72660 schon beschrieben wird und was Sie unter https://vondoczudoc.de/viewtopic.php?p=72668#p72668 als Praxisfehler beschreiben: "Das RSA-Zertifikat von der Kocobox runternehmen."

- Hier
hat das jemand ganz unten im Forum bei Tomedo geschafft.

- Sucht TM ggf. im Windows-Zertifikatsspeicher, und falls ja, wie geht man das ganze bitte korrekt an?

Wirklich vielen Dank!
Benutzeravatar
FortiSecond
Beiträge: 1383
Registriert: Dienstag 2. August 2022, 21:30
3
Hat sich bedankt: 644 mal
Hat Dank erhalten: 484 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von FortiSecond »

Claude dazu:
Der grundsätzliche Ablauf zur Erstellung eines Konnektor-Authentisierungszertifikats mit secp256r1 in der KoCoBox-Managementoberfläche ist so:

Anmelden an der KoCoBox-Managementschnittstelle (Browser, i.d.R. mit Admin-Rechten).
Navigiere zu Verwaltung → Clientsysteme.
Falls noch nicht geschehen: bei "Anbindung Clientsysteme" die nötigen Einstellungen aktivieren.
Klicke auf "Zertifikat für Authentisierung Konnektor hinzufügen…".
Als Hostname trägst du "kocobox" ein (so wird es z. B. für Tomedo-Anbindung dokumentiert).
Beim Zertifikatstyp wählst du "ECC secp256r1" aus (nicht brainpoolP256r1 – das ist eine andere Kurve und in manchen PVS/Clientmodulen nicht unterstützt).
Mit "OK" bestätigen – das Zertifikat wird erzeugt.
In der Liste der Konnektor-Zertifikate das gerade neu erzeugte Zertifikat auswählen.
Abschließend auf "Übernehmen" klicken, damit es aktiv gesetzt wird.
Kocobox neustarten.
In Turbomed das Clientzertifikat nochmals importieren.
--
42
avd
Beiträge: 97
Registriert: Samstag 9. Februar 2019, 23:13
7
Hat sich bedankt: 15 mal
Hat Dank erhalten: 3 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von avd »

Dankeschön für die Anleitung, bisher habe ich mein Problem aber leider nicht lösen können.

Die Erstellung des neuen ECC-Konnektorzertifikats für kocobox funktioniert zwar und liefert eine Zip mit 2 *.pem-Dateien (kocobox.pem + cakocobox.pem), es ist mir unklar, inwiefern ich diese irgendwo hinterlegen muss. Beim aktivierten kocobox-Zertifikat und anschließender Erzeugung eines neuen TurboMed-Client-Zertifikats (*p12 + Passwort) mit Import unter Sonstiges/Gematik/Konnektor Einstellungen erhalte ich anschließend diese Fehlermeldung:

Hinweis.jpg

Ändere ich versuchsweise aufs Konnektor-Zertifikat C.AK.AUT2 ECDSA (brainpoolP256r1), kommt diese Hinweismeldung zwar nicht. Allerdings erkennt TurboMed beim Start weiterhin in beiden Fällen nicht die Kocobox im "HTTPS mit Client-Zertifikat-Modus":

Start.jpg

Habe bei Claude.ai nachgefragt, dieses bezieht sich u.a. auf viewtopic.php?p=72660#p72660 :
Es ist vermutlich nicht (nur) das Zertifikat selbst, das TurboMed ablehnt, sondern die dazugehörige CA-Kette. In dem Fall aus dem Forum stellte sich heraus: TurboMed liefert für die Konnektorverbindung eine CAfile.pem mit, die vor einem bestimmten Update das Zertifikat CN=GEM.KOMP.CA6 (also C.CA.AUT2) enthielt – nach einem TurboMed-Update war diese Datei plötzlich deutlich kleiner und das Zertifikat fehlte darin. Diese CAfile.pem wird beim Import des Client-Zertifikats aus der KoCoBox mit dem Client-Schlüssel zu einer client.pem zusammengeführt, die TurboMed dann tatsächlich für den TLS-Handshake nutzt – und genau diese Datei liegt unter D:\TurboMed\Daten\Var\Konnektor\Zertifikate<ID>.
Leider habe ich keine derartige alte vollständige CAfile.pem zum Austausch, meine haben niemals wirklich die Größe verändert.

Mir ist allerdings etwas neues aufgefallen :shock: , bislang hatte ich unter Clientsystem zusätzlich zu TurboMed auch CS_TI-Assist, ein seit Jahren abgelaufenes RSA Zertifikat mit mir völlig unklarer Relevanz. Dieses Zertifikat fehlt nun aber auch! Gemini schreibt es wäre absolut wichtig für sämtliche Kommunikation einschließlich der KoCoBox-Erkennung, ChatGPT schreibt es sei eher ein altes Hilfssystem für die KoCoBox-Installation und unbedeutend, Claude.ai weiß es nicht weil es schlecht dukummentiert wäre. Ich habe es jetzt formal als ECC-Zertifikat erstellt, weiß aber überhaupt nicht, wo dies zu importieren wäre (unter Sonstiges/Gematik/Konnektor scheint es das TurboMed-Zertifikat zu überschreiben, daher vermutlich nicht korrekt). Vielleicht tatsächlich nur ein Rudiment?

Aktuell funktioniert nur eGK-Einlesen mit Versichertenstammdatenmanagement. Ich wünschte wenigstens eRezepte würden gehen, aber wie gesagt, Kocobox wird nur mit HTTPS erkannt wenn keine Zertifikatabfrage erfolgt.

Meine aktuelle frustrane Konfiguration:

Clientsysteme.jpg

Ist da ggf, noch etwas zu machen? Vielen Dank für Hilfestellung!
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Sandburg
Beiträge: 16
Registriert: Samstag 19. August 2023, 11:38
2
Hat sich bedankt: 3 mal
Hat Dank erhalten: 5 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von Sandburg »

Wenn man die Konnektor Einstellung in Turbomed auf nur http ohne Zertikat umstellt sollte und dies auch so in der Kocobox umstellt sollte wieder eine Verbindung möglich sein ( S. Auch andere Einträge)

Dazu muss das Zertifikat der Box auf ECC. Somit wäre erezept etc wieder möglich bis auf epa

Läuft KiM? Hier muss man auch noch das Turbomed Zertifikat aus der Box eintragen.

So war unsere Notlösungseinstellung, beides ECC.
IMG_1186.jpeg
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
FortiSecond
Beiträge: 1383
Registriert: Dienstag 2. August 2022, 21:30
3
Hat sich bedankt: 644 mal
Hat Dank erhalten: 484 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von FortiSecond »

Bitte nochmal schauen: Gemeint war die Erstellung eines "Zertifikats zur Authentisierung des Konnektors" im unteren Bereich.
Hier sollte ein neues Zertifikat erstellt werden.

"Eigentlich" sollte es dann so laufen:
Beim Import des Zertifikats für den Client (also oberer Bereich!) in TM werden TM und KIM mit dem neuen Zertifikat ausgestattet. Bei KIM erfolgt das meines Wissens "live".
Beim TM-Neustart dürfte TM erstmal mit seinem importierten Clientsystem-Zertifikat (oberer Bereich) in der Hand den Konnektor begrüßen. Der Konnektor legt sein Zertifikat vor (unterer Bereich). Kommt TM damit zurecht, ist die Verbindung da.

Die Live-Fehlermeldung bei KIM kann bedeuten, dass KIM damit noch nicht zurechtkommt. Ich könnte mir vorstellen, dass wenn der Konnektor noch das "falsche" Zertifikat zeigt, KIM meckert und TM damit ebenfalls beim Import unterbricht.

Allerdings gibt es auch noch den Gedanken, dass der Konnektor als Aussteller des Clientzertifikats (!) zum Zeitpunkt des Erstellens des Clientzertifikats (für TURBOMED) bereits auf ECC umgestellt sein muss. Weil... Aussteller muss TM prüfen können.

Hmm... eigentlich war ich der Meinung, dass TM oder KIM die ECC-Zertifikate selbst korrekt in den Windows-Zertifikatespeicher werfen. Irgendwo gab es dazu auch noch eine Batchdatei in einem TM-Ordner (falls ich das nicht mit einem anderen PVS verwechsele).

Problem bei KIM: Kann ich nicht nachstellen, weil ich KIM exklusiv "Standalone" laufen lasse. Da entfällt das Problem, dass TM in dessen Config herumrührt. ABER -> Inzwischen zeigt TM ja auch ohne Tricks das Masterpasswort für das KIM-Clientmodul an. D.h.man kann dort schonmal den Konnektor korrekt einrichten und testen. Danach dann an TM rangehen. :-)
--
42
avd
Beiträge: 97
Registriert: Samstag 9. Februar 2019, 23:13
7
Hat sich bedankt: 15 mal
Hat Dank erhalten: 3 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von avd »

@Sandburg: Besten Dank, das wird gleich mal morgen früh umgesetzt, die Konfiguration erinnert an gute alte Zeiten. Derzeit bin ich froh, überhaupt VKs einlesen zu können, KIM scheint zerschossen. Wenn eRezept geht, dann wird das auch entspannter für die / mit den Patienten...

@Fortisecond: Sie haben natürlich vollkommen Recht, das habe ich auch genau so umgesetzt, leider frustran. In meinem letzten Eintrag ist der letzte Screenshot falsch, das war der ursprüngliche Zustand, hier kommt der aktuelle:

System.jpg
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
FortiSecond
Beiträge: 1383
Registriert: Dienstag 2. August 2022, 21:30
3
Hat sich bedankt: 644 mal
Hat Dank erhalten: 484 mal

Re: Hilfe erbeten: C.AK.AUT-Zertifikat gelöscht

Beitrag von FortiSecond »

Hm, was mir spontan noch auffällt: Ganz oben "Zugriff auf Dienstverzeichnisdienst..." -> Sollte auf JA stehen.
Das ist der Zugriff auf die http://IP-der-Box/connector.sds.
Weiß nicht genau, was TM da erwartet, aber mit JA macht man erstmal nix falsch. :-)

Bin gerade leider noch mit der Datenrettung beschäftigt, sonst würde ich noch mehr schreiben.
(Mal sehen, morgen könnte es den Durchbruch geben, also bei der Datenbank)
--
42
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot], Bing [Bot], cwang und 10 Gäste