Seite 1 von 1
ECC mit kv.dox und Turbomed
Verfasst: Dienstag 7. Oktober 2025, 18:16
von lcer
Hallo,
Hat irgendwer ECC Zertifikate mit dem KIM Clientmodul von kv.dox zum laufen bekommen? Bei mir läuft das ECC Zertifikat zwar bei Turbomed, beim kv.dox Clientmodul wird aber ein Fehler beim Zertifikatimport angezeigt. Das kv.dox Clientmodul ist auf dem aktuellen Updatestand, allerdings damals per Autoupdate.
Grüße
lcer
Re: ECC mit kv.dox und Turbomed
Verfasst: Freitag 10. Oktober 2025, 20:23
von FortiSecond
Aus der Anleitung zu KIM von Akquinet (kv.dox ist die Whitelabel-Lösung der KBV):
"Die Verwendung von ECC-Zertifikaten ist abhängig von der Betriebsumgebung (Betriebssystem) des Clientmoduls:
• Die durch ein ECC-Zertifikat genutzte Kurve (z.B. NIST) muss von der Betriebsumgebung des Clientmoduls unterstützt werden.
• Es können ausschließlich ECC-Zertifikate genutzt werden, deren Kurven namentlich in den Schlüsseln angegeben wurden ('named curve'). Die Verwendung von ECC-Zertifikaten mit expliziter Kurvenparametrisierung wird aktuell nicht unterstützt."
--> NIST wird wohl bevorzugt.
Re: ECC mit kv.dox und Turbomed
Verfasst: Samstag 11. Oktober 2025, 17:47
von lcer
Hallo FortiSecond,
das ist tatsächlich das einzige was zu finden war. Aber:
Turbomed und KVdox-Clientmodul laufen auf den selben Server - haben also dieselbe Betriebssystemumgebung. Turbomed gelingt die Verbindung zum konnektor, kvdox nicht.
Mittels "certutil -displayEccCurve" kann man sich die auf dem Server möglichen ECC-Cipher-Suites anzeigen lassen. Brainpool 256bit und NIST 256bit sind dort mit aufgeführt. Trotzdem kommt es zu einem Fehler beim TLS-Handshake (protokolliert unter Windows Eventmanager quelle:SChannel). Das Ganze ist rätselhaft.
Ich habe die Registry des Servers überprüft, dort sind keine zusätzlichen Beschränkungen zu finden, die bestimmte Ciphers ausschließen könnten, der Server läuft also in "Werkseinstellungen" bezüglich TLS.
Der kvdox-Support schweigt bis jetzt.
Grüße
lcer
Re: ECC mit kv.dox und Turbomed
Verfasst: Montag 20. Oktober 2025, 11:52
von lcer
Hallo,
Problem gelöst. Es lag an der fehlenden Aktivierung der TLS-Kurven in Windows. Grundproblem:
Im Betriebssystem registrierte Kurven sind nicht automatisch aktivierte Kurven!
Anzeigen der vom System unterstützten Ciphers:
Code: Alles auswählen
PS C:\tmp> certutil -displayEccCurve
Microsoft SSL Protocol Provider:
--------------------------------
Curve Name Curve OID Länge des öffentlichen SchlüsselsCurveType EccCurveFlags
-----------------------------------------------------------------------------------------------
curve25519 255 29 0xa
nistP256 1.2.840.10045.3.1.7 256 23 0x7
nistP384 1.3.132.0.34 384 24 0x7
brainpoolP256r1 1.3.36.3.3.2.8.1.1.7 256 26 0x7
brainpoolP384r1 1.3.36.3.3.2.8.1.1.11 384 27 0x7
brainpoolP512r1 1.3.36.3.3.2.8.1.1.13 512 28 0x7
nistP192 1.2.840.10045.3.1.1 192 19 0x7
nistP224 1.3.132.0.33 224 21 0x7
nistP521 1.3.132.0.35 521 25 0x7
secP160k1 1.3.132.0.9 160 15 0x7
secP160r1 1.3.132.0.8 160 16 0x7
secP160r2 1.3.132.0.30 160 17 0x7
secP192k1 1.3.132.0.31 192 18 0x7
secP192r1 1.2.840.10045.3.1.1 192 19 0x7
secP224k1 1.3.132.0.32 224 20 0x7
secP224r1 1.3.132.0.33 224 21 0x7
secP256k1 1.3.132.0.10 256 22 0x7
secP256r1 1.2.840.10045.3.1.7 256 23 0x7
secP384r1 1.3.132.0.34 384 24 0x7
secP521r1 1.3.132.0.35 521 25 0x7
CNG Curves:
-----------
Curve Name Curve OID Länge des öffentlichen Schlüssels
-------------------------------------------------------------------
brainpoolP160r1 1.3.36.3.3.2.8.1.1.1 160
brainpoolP160t1 1.3.36.3.3.2.8.1.1.2 160
brainpoolP192r1 1.3.36.3.3.2.8.1.1.3 192
brainpoolP192t1 1.3.36.3.3.2.8.1.1.4 192
brainpoolP224r1 1.3.36.3.3.2.8.1.1.5 224
brainpoolP224t1 1.3.36.3.3.2.8.1.1.6 224
brainpoolP256r1 1.3.36.3.3.2.8.1.1.7 256
brainpoolP256t1 1.3.36.3.3.2.8.1.1.8 256
brainpoolP320r1 1.3.36.3.3.2.8.1.1.9 320
brainpoolP320t1 1.3.36.3.3.2.8.1.1.10 320
brainpoolP384r1 1.3.36.3.3.2.8.1.1.11 384
brainpoolP384t1 1.3.36.3.3.2.8.1.1.12 384
brainpoolP512r1 1.3.36.3.3.2.8.1.1.13 512
brainpoolP512t1 1.3.36.3.3.2.8.1.1.14 512
curve25519 255
ec192wapi 1.2.156.11235.1.1.2.1 192
nistP192 1.2.840.10045.3.1.1 192
nistP224 1.3.132.0.33 224
nistP256 1.2.840.10045.3.1.7 256
nistP384 1.3.132.0.34 384
nistP521 1.3.132.0.35 521
numsP256t1 256
numsP384t1 384
numsP512t1 512
secP160k1 1.3.132.0.9 160
secP160r1 1.3.132.0.8 160
secP160r2 1.3.132.0.30 160
secP192k1 1.3.132.0.31 192
secP192r1 1.2.840.10045.3.1.1 192
secP224k1 1.3.132.0.32 224
secP224r1 1.3.132.0.33 224
secP256k1 1.3.132.0.10 256
secP256r1 1.2.840.10045.3.1.7 256
secP384r1 1.3.132.0.34 384
secP521r1 1.3.132.0.35 521
wtls7 1.3.132.0.30 160
wtls9 2.23.43.1.4.9 160
wtls12 1.3.132.0.33 224
x962P192v1 1.2.840.10045.3.1.1 192
x962P192v2 1.2.840.10045.3.1.2 192
x962P192v3 1.2.840.10045.3.1.3 192
x962P239v1 1.2.840.10045.3.1.4 239
x962P239v2 1.2.840.10045.3.1.5 239
x962P239v3 1.2.840.10045.3.1.6 239
x962P256v1 1.2.840.10045.3.1.7 256
CertUtil: -displayEccCurve-Befehl wurde erfolgreich ausgeführt.
Aber - das sind nicht die aktivierten Ciphers! Daher - Anzeigen der Aktivierten Ciphers:
Code: Alles auswählen
PS C:\tmp> Get-TlsEccCurve
curve25519
NistP256
NistP384
Da fehlt die brainpoolP256r1
mit
läßt sich die Curve aktivieren.
Alternativ kann man das per GPO machen: Computerkonfiguration/Administrative Vorlagen/Netzwerk/SSL-Konfigurationseinstellungen/ECC-Kurvenreihenfolge. Dort trägt man folgendes ein:
Die unteren 3 Einträge sind die Windows-Standarteinstellungen. Mit der dem Angeben der Reihenfolge wird die Kurve automatisch aktiviert.
Weitere Infos gibt es hier:
https://learn.microsoft.com/en-us/windo ... -and-later
https://learn.microsoft.com/de-de/windo ... mendations
Zum Schluß ist der Neustart des Servers erforderlich. Dann nimmt KV.dox auch das ECC-Zertifikat.
Die Brainpool-Kurven sind vom Europäische Varianten der ECC-Kurven und werden vom BSI empfohlen. Daher habe ich die genommen. Die NIST-Kurven sind die Amerikanische Variante und wohl daher Standarteinstellung von Windows.
Grüße
lcer
PS: Von KV.dox bisher immer noch keine Antwort auf meine Supportanfrage. Ob das Problem auch für das CGM-Clientmodul relevant ist, kann ich nicht sagen. Das Aktivieren der brainpoolP256r1 Kurve kann vermutlich aber auch dort nicht schaden.
Re: ECC mit kv.dox und Turbomed
Verfasst: Montag 20. Oktober 2025, 16:14
von JaBa-IT
Es gibt im KV.Dox Modul unter den Einstellungen (ganz unten) den Punkt Zertifikat. Da muss man einmal auf ECC umstellen, dann gehts.
Re: ECC mit kv.dox und Turbomed
Verfasst: Montag 20. Oktober 2025, 21:13
von FortiSecond
lcer hat geschrieben: ↑Montag 20. Oktober 2025, 11:52
Hallo,
Problem gelöst. Es lag an der fehlenden Aktivierung der TLS-Kurven in Windows. Grundproblem:
Im Betriebssystem registrierte Kurven sind nicht automatisch aktivierte Kurven!
*omfg*.
Das hat mir gerade an anderer Stelle weitergeholfen.
Klasse Darstellung - danke!
Re: ECC mit kv.dox und Turbomed
Verfasst: Montag 20. Oktober 2025, 21:33
von lcer
JaBa-IT hat geschrieben: ↑Montag 20. Oktober 2025, 16:14
Es gibt im KV.Dox Modul unter den Einstellungen (ganz unten) den Punkt Zertifikat. Da muss man einmal auf ECC umstellen, dann gehts.
Nein, das half bei mir nicht. Bei mir läuft das Clientmodul auf einem Windows Server 2019. Mag bei anderen OS anders sein.
Außerdem ist die Einstellung nur relevant, wenn mehrere Zertifikate zur Verfügung stehen.
Grüße
lcer
Re: ECC mit kv.dox und Turbomed
Verfasst: Sonntag 26. Oktober 2025, 21:37
von hainzi0815
Aloha,
hatte die Umstellung von meinem MedicalOffice-Dienstleister machen lassen, da ich mir in den Arsch beißen würde, ohne funktionierende TI dazustehen (auch wenns vermutlich einfach zu beheben wäre). Der hatte tatsächlich Probleme, das bei kv.dox zum laufen zu bringen; letztlich nach Rücksprache mit dem kv.dox-Support sei wohl erstmal nur RSA möglich...
Nun... Das Clientzertifikat in meiner Kocobox ist schon auf ECC umgestellt, aber das andere "Authentisierung Konnektor" (unter Verwaltung/Clientsysteme/C.AK.AUT) steht noch auf RSA. Ist dieses in diesem Thread gemeint?
Tatsächlich stehen bei mir bei den aktivierten Ciphers auf meinem Win22Server auch nur die curve25519, NistP256 und NistP384...
Viele Grüße