usercrash
Goto Top

Eigenzertifikat des TI-Konnektors ohne CA auf Win Server installieren

Guten Morgen,
zur Einrichtung der Telematik-Infrastruktur TI im Gesundheitswesen wird im Lan ein sog. Konnektor installiert, der die VPN-Verbindungen zu den Konzentratoren der Telematik aufbaut.

Bei der Installation generiert dieser Konnektor (hier: T-Systems) abhängig von diversen Faktoren, Zugangsnummern, SMC-B usw. ein Eigenzertifikat, welches nicht durch eine CA beglaubigt oder überprüfbar ist (die Zertifikatkette ist unvollständig). Damit werden alle Verbindungen zum Konnektor aus dem Lan heraus gesichert/ verschlüsselt.

Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan

Und genau mit diesen unüblichen Webadressen haben lokale Programm Probleme (z.B. das PVS, Kasperky, bei Anmeldung an die Konfigurationsoberfläche per Browser) , da solche URL's als 'korrupt' oder 'not valid' bei der jeweiligen Ausnahmeliste abgelehnt werden.

Idee + Fragen:
Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren, damit alle User von den jeweiligen Fehlermeldungen a la "unvollständige Zertifikatkette" verschont bleiben?
Welche User-Anmeldung, damit alle User des Servers davon profitieren?
In welchen Speicher bei certmgr.msc muss man das importieren?
Eigene Zertifikate oder Andere Personen?

Danke für Tipps, beste Grüße, UC

screen-2019-06-06_20-50-50
screen-2019-06-06_20-41-46

Content-ID: 460080

Url: https://administrator.de/forum/eigenzertifikat-des-ti-konnektors-ohne-ca-auf-win-server-installieren-460080.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

keine-ahnung
keine-ahnung 07.06.2019 um 10:09:24 Uhr
Goto Top
Moin,

Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren

das wird nix bringen, da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden. Ich habe das Geraffel letzte Woche bei mir installiert, konnte aber solche Fehlfunktionen nicht beobachten - was aber nichts heissen soll, da ich seitdem urlaube ... glaube aber eher, dass da bei der Einrichtung etwas nicht rund gelaufen ist.

LG, Thomas
usercrash
usercrash 07.06.2019 aktualisiert um 10:37:45 Uhr
Goto Top
Danke. Einrichtung lief weitgehend problemlos, Funktion ist ebenfalls ok, alle Lämpchen auf grün ;) ...

Wie kann ich (testhalber) ein Zertifikat für alle User/ die lokale Maschine im Speicher
HKEY_LOCAL_MACHINE / Vertrauenswürdige Stammzertifizierungsstellen
installieren?

Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.

EDIT:
Habe mal nur für den aktuellen User importiert. Bekommt man für ein solches Konnektor-Zertifikat vielleicht Gematik-Root-Zertifikate zum installieren?
screen-2019-06-07_09-57-18

LG, UC
Dani
Dani 07.06.2019 um 13:44:48 Uhr
Goto Top
Moin,
Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.
Logo, du musst die Snapin als Administrator starten. Ein normaler Benutzer darf in Bereich "lokaler Computer" nichts machen.


Gruß,
Dani
usercrash
usercrash 07.06.2019 aktualisiert um 16:37:26 Uhr
Goto Top
EDIT:
Das Importieren nach Zertifikate > Lokaler Computer klappt jetzt,
habe mit mmc.exe das SnapIn Zertifikate(Lokaler Computer) eingebaut.

Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...

Und mir war so:
Muss bei RDP-Zugriff für den RDP-Nutzer der Zugriff auf die Zertifikate erlaubt werden? Wo?

Gibt es seitens der Gematik Root-CA-Zertifikate zum Download?
Standardmäßig sind die im BS ja nicht installiert.

Danke + Gruß, UC
keine-ahnung
keine-ahnung 07.06.2019 um 17:30:03 Uhr
Goto Top
Moin,
Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...

das ist IMHO feature, kein bug face-smile

da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden

Du wirst m.E. kein gültiges Zertifikat aus einem Konnektor in ein Windows-System pressen können, und sollte es Dir doch gelingen, hast Du diese Prozedur im Wochentakt vor Dir, da die keys der TIS wohl in dieser Frequenz erneuert werden.

Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...

LG, Thomas
usercrash
usercrash 07.06.2019 aktualisiert um 21:16:46 Uhr
Goto Top
Hallo,

Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...

Schönen Urlaub! Danach hast Du Dich sicherlich dermaßen erholt/ gestärkt face-wink , dass Du mal einen Blick auf den Konnektor nebst den Zertifikaten werfen könntest? Danke...
Da muss es doch eine Lösung geben - die können seitens der TI doch keine Zertifikate nutzen, die dauerhaft von einschlägigen Sicherheitsmechanismen bemängelt werden. Da hängen doch auch große MVZs, Kliniken etc. dran, die drehen dann am Rad...

LG UC
Dani
Dani 07.06.2019 um 19:25:07 Uhr
Goto Top
Moin,
nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.


Gruß,
Dani
usercrash
usercrash 07.06.2019 um 21:13:35 Uhr
Goto Top
Nabend,

nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.

bitte sehr. Wirklich aufschlussreich ist das IMHO nicht:

screen-2019-06-07_21-07-16
screen-2019-06-07_21-07-39

Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.

LG UC
Dani
Dani 07.06.2019 um 21:43:15 Uhr
Goto Top
Moin,
es ist in der Tat ein Self-Signed-Zertifikat. Erkennt man ganz gut an der Laufzeit von 5 Jahren. Denn käufliche/signierte Zertifikate von vertrauenswürdige CAs dürfen maximal noch eine Laufzeit von 2 Jahren haben. Wobei die T-Systems ihre Finger im Spiel hat und die Zertifikate wohl nur innerhalb der Infrastruktur genutzt wird.

Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.
Siehe hier


Gruß,
Dani
usercrash
usercrash 11.06.2019 aktualisiert um 11:22:37 Uhr
Goto Top
Moin und danke für den Link.

Die 'CA-Vertrauenskette' scheint aber trotzdem nicht vollständig, "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist."
Und nun?

Gruß UC

screen-2019-06-11_09-10-13

EDIT:
Weiteres zu den Zertifikaten im Kartenleser
https://ingenico.de/healthcare/downloads
======================================================================================
=== Release Notes zum Update der Zertifikatsliste TSL-PU vom 23.03.2018            ===
======================================================================================

Update der internen TSL-PU Zertifikatsliste (Update von V1.0.0 auf V1.1.0).
Andere FW-Komponenten werden nicht verändert.

==================================
=== Generelle Anforderung      ===
==================================
* Nur für FW-Version V3.7.2 vom 19.10.2017 vorgesehen

==================================
=== Zertifikate und Schlüssel  ===
==================================
* Folgende CA Zertifikate sind nach dem Update in der TSL "TSL-PU" enthalten:  
  
 1  Gematik:
    (Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA1)

 2  Gematik:
    (Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA1)

 3  *** neu *** Gematik:
    (Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA2)

 4  *** neu *** Gematik:
    (Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA3)

==================================
Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..
keine-ahnung
keine-ahnung 12.06.2019 um 08:57:01 Uhr
Goto Top
Moin,

"Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..!"

Ich habe doch jetzt schon wiederholt geschrieben, dass Teile der Zertifikate "hardwarekodiert" vom Konnektor vorgehalten und zur Verfügung gestellt werden - die bekommst Du nicht rauskopiert ... was glaubst Du, warum die beim Versand der Teile so einen Bohai betreiben?

LG, Thomas
usercrash
usercrash 12.06.2019 um 10:49:32 Uhr
Goto Top
Hallo,
das ist IMHO so nicht richtig, die Zertifikate werden auf einer offiziellen Webseite der Gematik zur Verfügung gestellt.

Hier erwähnt werden:
GEM.KOMP-CA3
und als Root:
GEM.RCA2

Kommen wir damit weiter?

LG UC
keine-ahnung
keine-ahnung 12.06.2019 um 11:31:43 Uhr
Goto Top
Moin nochmal,

das ist IMHO so nicht richtig

das ist zumindest mein Kenntnisstand. Die GEMATIK wird sich da aber auch nicht in die letzte Karte schauen lassen. Die Tatsache, dass die Konnektoren wegen der Zertifizierungstechnologie eine vorgesehene Lebenserwartung von 60 Monaten nach Erstaktivierung haben, spricht aber m.E. dafür, dass zumindest Teile der Zertifikate dort vorgehalten werden und diese vermutlich weder überschreib- noch austauschbar sind.

LG, Thomas
usercrash
usercrash 13.06.2019 aktualisiert um 08:59:23 Uhr
Goto Top
Guten Morgen,
habe mal weiter experimentiert (Mittwoch Nachmittag face-wink ... ):
Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.

Dann wird letztendlich bemängelt, dass das Konnektor-Zertifikat nur für konnektor.konlan gültig sei, was als alternativer (!) DNS-Name im Zertifikat auch so hinterlegt ist. Der Aufruf aber erfolgt wohl über die krude 'Nummern-Url' a la 802xxxxx1.

Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?

Danke + Gruß, UC

20190612_155720
20190612_155640
Dani
Dani 15.06.2019 um 19:33:36 Uhr
Goto Top
Moin,
Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?
Die HOST-Datei oder falls du einen DNS-Server im Einsatz hast.

Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.
Das sollte auch bei Internet Explorer oder Google Chrome so sein.


Gruß,
Dani
usercrash
usercrash 16.06.2019 aktualisiert um 10:47:37 Uhr
Goto Top
HOSTS: Hmmm, danke...

Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
So etwa:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# Start of entries
80270000000000000003-20000001 konnektor.konlan

Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan

Danke + Gruß, UC
Dani
Dani 22.06.2019 um 14:17:11 Uhr
Goto Top
Moin,
Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
halte dich doch an das Beispiel in der HOSTS Datei. Zuerst kommt die IP-Adresse und nach einem Leerzeichen der DNS-Name.
192.168.x.y 80270000000000000003-20000001
192.168.x.y konnektor.konlan

Gruß,
Cani
magicman
magicman 23.06.2020 um 23:23:15 Uhr
Goto Top
Nabend, habt ihr das Problem mit der Zertifikatskette gelöst bekommen?
Ich habe zwar kein Problem bei der Zertifikatskette, aber mit der CETP- Benachrichtigung

Ohne Sicherheits (Zertifikat) lässt sich die eGK zwar einlesen aber nicht aus der TI abgleichen.
Ich möchte aber natürlich das durch ein Zertifikat gesichert haben.