18
Eigenzertifikat des TI-Konnektors ohne CA auf Win Server installieren
Guten Morgen,
zur Einrichtung der Telematik-Infrastruktur TI im Gesundheitswesen wird im Lan ein sog. Konnektor installiert, der die VPN-Verbindungen zu den Konzentratoren der Telematik aufbaut.
Bei der Installation generiert dieser Konnektor (hier: T-Systems) abhängig von diversen Faktoren, Zugangsnummern, SMC-B usw. ein Eigenzertifikat, welches nicht durch eine CA beglaubigt oder überprüfbar ist (die Zertifikatkette ist unvollständig). Damit werden alle Verbindungen zum Konnektor aus dem Lan heraus gesichert/ verschlüsselt.
Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan
Und genau mit diesen unüblichen Webadressen haben lokale Programm Probleme (z.B. das PVS, Kasperky, bei Anmeldung an die Konfigurationsoberfläche per Browser) , da solche URL's als 'korrupt' oder 'not valid' bei der jeweiligen Ausnahmeliste abgelehnt werden.
Idee + Fragen:
Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren, damit alle User von den jeweiligen Fehlermeldungen a la "unvollständige Zertifikatkette" verschont bleiben?
Welche User-Anmeldung, damit alle User des Servers davon profitieren?
In welchen Speicher bei certmgr.msc muss man das importieren?
Eigene Zertifikate oder Andere Personen?
Danke für Tipps, beste Grüße, UC
zur Einrichtung der Telematik-Infrastruktur TI im Gesundheitswesen wird im Lan ein sog. Konnektor installiert, der die VPN-Verbindungen zu den Konzentratoren der Telematik aufbaut.
Bei der Installation generiert dieser Konnektor (hier: T-Systems) abhängig von diversen Faktoren, Zugangsnummern, SMC-B usw. ein Eigenzertifikat, welches nicht durch eine CA beglaubigt oder überprüfbar ist (die Zertifikatkette ist unvollständig). Damit werden alle Verbindungen zum Konnektor aus dem Lan heraus gesichert/ verschlüsselt.
Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan
Und genau mit diesen unüblichen Webadressen haben lokale Programm Probleme (z.B. das PVS, Kasperky, bei Anmeldung an die Konfigurationsoberfläche per Browser) , da solche URL's als 'korrupt' oder 'not valid' bei der jeweiligen Ausnahmeliste abgelehnt werden.
Idee + Fragen:
Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren, damit alle User von den jeweiligen Fehlermeldungen a la "unvollständige Zertifikatkette" verschont bleiben?
Welche User-Anmeldung, damit alle User des Servers davon profitieren?
In welchen Speicher bei certmgr.msc muss man das importieren?
Eigene Zertifikate oder Andere Personen?
Danke für Tipps, beste Grüße, UC
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 460080
Url: https://administrator.de/contentid/460080
Printed on: April 19, 2024 at 13:04 o'clock
18 Comments
Latest comment
Moin,
das wird nix bringen, da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden. Ich habe das Geraffel letzte Woche bei mir installiert, konnte aber solche Fehlfunktionen nicht beobachten - was aber nichts heissen soll, da ich seitdem urlaube ... glaube aber eher, dass da bei der Einrichtung etwas nicht rund gelaufen ist.
LG, Thomas
Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren
das wird nix bringen, da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden. Ich habe das Geraffel letzte Woche bei mir installiert, konnte aber solche Fehlfunktionen nicht beobachten - was aber nichts heissen soll, da ich seitdem urlaube ... glaube aber eher, dass da bei der Einrichtung etwas nicht rund gelaufen ist.
LG, Thomas
Danke. Einrichtung lief weitgehend problemlos, Funktion ist ebenfalls ok, alle Lämpchen auf grün ;) ...
Wie kann ich (testhalber) ein Zertifikat für alle User/ die lokale Maschine im Speicher
HKEY_LOCAL_MACHINE / Vertrauenswürdige Stammzertifizierungsstellen
installieren?
Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.
EDIT:
Habe mal nur für den aktuellen User importiert. Bekommt man für ein solches Konnektor-Zertifikat vielleicht Gematik-Root-Zertifikate zum installieren?
LG, UC
Wie kann ich (testhalber) ein Zertifikat für alle User/ die lokale Maschine im Speicher
HKEY_LOCAL_MACHINE / Vertrauenswürdige Stammzertifizierungsstellen
installieren?
Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.
EDIT:
Habe mal nur für den aktuellen User importiert. Bekommt man für ein solches Konnektor-Zertifikat vielleicht Gematik-Root-Zertifikate zum installieren?
LG, UC
Moin,
Gruß,
Dani
Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.
Logo, du musst die Snapin als Administrator starten. Ein normaler Benutzer darf in Bereich "lokaler Computer" nichts machen.Gruß,
Dani
EDIT:
Das Importieren nach Zertifikate > Lokaler Computer klappt jetzt,
habe mit mmc.exe das SnapIn Zertifikate(Lokaler Computer) eingebaut.
Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...
Und mir war so:
Muss bei RDP-Zugriff für den RDP-Nutzer der Zugriff auf die Zertifikate erlaubt werden? Wo?
Gibt es seitens der Gematik Root-CA-Zertifikate zum Download?
Standardmäßig sind die im BS ja nicht installiert.
Danke + Gruß, UC
Das Importieren nach Zertifikate > Lokaler Computer klappt jetzt,
habe mit mmc.exe das SnapIn Zertifikate(Lokaler Computer) eingebaut.
Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...
Und mir war so:
Muss bei RDP-Zugriff für den RDP-Nutzer der Zugriff auf die Zertifikate erlaubt werden? Wo?
Gibt es seitens der Gematik Root-CA-Zertifikate zum Download?
Standardmäßig sind die im BS ja nicht installiert.
Danke + Gruß, UC
Moin,
das ist IMHO feature, kein bug
Du wirst m.E. kein gültiges Zertifikat aus einem Konnektor in ein Windows-System pressen können, und sollte es Dir doch gelingen, hast Du diese Prozedur im Wochentakt vor Dir, da die keys der TIS wohl in dieser Frequenz erneuert werden.
Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...
LG, Thomas
Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...
das ist IMHO feature, kein bug
da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden
Du wirst m.E. kein gültiges Zertifikat aus einem Konnektor in ein Windows-System pressen können, und sollte es Dir doch gelingen, hast Du diese Prozedur im Wochentakt vor Dir, da die keys der TIS wohl in dieser Frequenz erneuert werden.
Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...
LG, Thomas
Hallo,
Schönen Urlaub! Danach hast Du Dich sicherlich dermaßen erholt/ gestärkt
, dass Du mal einen Blick auf den Konnektor nebst den Zertifikaten werfen könntest? Danke...
Da muss es doch eine Lösung geben - die können seitens der TI doch keine Zertifikate nutzen, die dauerhaft von einschlägigen Sicherheitsmechanismen bemängelt werden. Da hängen doch auch große MVZs, Kliniken etc. dran, die drehen dann am Rad...
LG UC
Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...
Schönen Urlaub! Danach hast Du Dich sicherlich dermaßen erholt/ gestärkt
, dass Du mal einen Blick auf den Konnektor nebst den Zertifikaten werfen könntest? Danke...Da muss es doch eine Lösung geben - die können seitens der TI doch keine Zertifikate nutzen, die dauerhaft von einschlägigen Sicherheitsmechanismen bemängelt werden. Da hängen doch auch große MVZs, Kliniken etc. dran, die drehen dann am Rad...
LG UC
Moin,
nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.
Gruß,
Dani
nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.
Gruß,
Dani
Nabend,
bitte sehr. Wirklich aufschlussreich ist das IMHO nicht:
Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.
LG UC
nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.
bitte sehr. Wirklich aufschlussreich ist das IMHO nicht:
Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.
LG UC
Moin,
es ist in der Tat ein Self-Signed-Zertifikat. Erkennt man ganz gut an der Laufzeit von 5 Jahren. Denn käufliche/signierte Zertifikate von vertrauenswürdige CAs dürfen maximal noch eine Laufzeit von 2 Jahren haben. Wobei die T-Systems ihre Finger im Spiel hat und die Zertifikate wohl nur innerhalb der Infrastruktur genutzt wird.
Gruß,
Dani
es ist in der Tat ein Self-Signed-Zertifikat. Erkennt man ganz gut an der Laufzeit von 5 Jahren. Denn käufliche/signierte Zertifikate von vertrauenswürdige CAs dürfen maximal noch eine Laufzeit von 2 Jahren haben. Wobei die T-Systems ihre Finger im Spiel hat und die Zertifikate wohl nur innerhalb der Infrastruktur genutzt wird.
Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.
Siehe hierGruß,
Dani
Moin und danke für den Link.
Die 'CA-Vertrauenskette' scheint aber trotzdem nicht vollständig, "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist."
Und nun?
Gruß UC
EDIT:
Weiteres zu den Zertifikaten im Kartenleser
https://ingenico.de/healthcare/downloads
Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..
Die 'CA-Vertrauenskette' scheint aber trotzdem nicht vollständig, "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist."
Und nun?
Gruß UC
EDIT:
Weiteres zu den Zertifikaten im Kartenleser
https://ingenico.de/healthcare/downloads
======================================================================================
=== Release Notes zum Update der Zertifikatsliste TSL-PU vom 23.03.2018 ===
======================================================================================
Update der internen TSL-PU Zertifikatsliste (Update von V1.0.0 auf V1.1.0).
Andere FW-Komponenten werden nicht verändert.
==================================
=== Generelle Anforderung ===
==================================
* Nur für FW-Version V3.7.2 vom 19.10.2017 vorgesehen
==================================
=== Zertifikate und Schlüssel ===
==================================
* Folgende CA Zertifikate sind nach dem Update in der TSL "TSL-PU" enthalten:
1 Gematik:
(Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA1)
2 Gematik:
(Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA1)
3 *** neu *** Gematik:
(Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA2)
4 *** neu *** Gematik:
(Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA3)
==================================
Moin,
Ich habe doch jetzt schon wiederholt geschrieben, dass Teile der Zertifikate "hardwarekodiert" vom Konnektor vorgehalten und zur Verfügung gestellt werden - die bekommst Du nicht rauskopiert ... was glaubst Du, warum die beim Versand der Teile so einen Bohai betreiben?
LG, Thomas
"Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..!"
Ich habe doch jetzt schon wiederholt geschrieben, dass Teile der Zertifikate "hardwarekodiert" vom Konnektor vorgehalten und zur Verfügung gestellt werden - die bekommst Du nicht rauskopiert ... was glaubst Du, warum die beim Versand der Teile so einen Bohai betreiben?
LG, Thomas
Hallo,
das ist IMHO so nicht richtig, die Zertifikate werden auf einer offiziellen Webseite der Gematik zur Verfügung gestellt.
Hier erwähnt werden:
GEM.KOMP-CA3
und als Root:
GEM.RCA2
Kommen wir damit weiter?
LG UC
das ist IMHO so nicht richtig, die Zertifikate werden auf einer offiziellen Webseite der Gematik zur Verfügung gestellt.
Hier erwähnt werden:
GEM.KOMP-CA3
und als Root:
GEM.RCA2
Kommen wir damit weiter?
LG UC
Moin nochmal,
das ist zumindest mein Kenntnisstand. Die GEMATIK wird sich da aber auch nicht in die letzte Karte schauen lassen. Die Tatsache, dass die Konnektoren wegen der Zertifizierungstechnologie eine vorgesehene Lebenserwartung von 60 Monaten nach Erstaktivierung haben, spricht aber m.E. dafür, dass zumindest Teile der Zertifikate dort vorgehalten werden und diese vermutlich weder überschreib- noch austauschbar sind.
LG, Thomas
das ist IMHO so nicht richtig
das ist zumindest mein Kenntnisstand. Die GEMATIK wird sich da aber auch nicht in die letzte Karte schauen lassen. Die Tatsache, dass die Konnektoren wegen der Zertifizierungstechnologie eine vorgesehene Lebenserwartung von 60 Monaten nach Erstaktivierung haben, spricht aber m.E. dafür, dass zumindest Teile der Zertifikate dort vorgehalten werden und diese vermutlich weder überschreib- noch austauschbar sind.
LG, Thomas
Guten Morgen,
habe mal weiter experimentiert (Mittwoch Nachmittag ... ):
Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.
Dann wird letztendlich bemängelt, dass das Konnektor-Zertifikat nur für konnektor.konlan gültig sei, was als alternativer (!) DNS-Name im Zertifikat auch so hinterlegt ist. Der Aufruf aber erfolgt wohl über die krude 'Nummern-Url' a la 802xxxxx1.
Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?
Danke + Gruß, UC
habe mal weiter experimentiert (Mittwoch Nachmittag
... ):Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.
Dann wird letztendlich bemängelt, dass das Konnektor-Zertifikat nur für konnektor.konlan gültig sei, was als alternativer (!) DNS-Name im Zertifikat auch so hinterlegt ist. Der Aufruf aber erfolgt wohl über die krude 'Nummern-Url' a la 802xxxxx1.
Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?
Danke + Gruß, UC
Moin,
Gruß,
Dani
Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?
Die HOST-Datei oder falls du einen DNS-Server im Einsatz hast.Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.
Das sollte auch bei Internet Explorer oder Google Chrome so sein.Gruß,
Dani
HOSTS: Hmmm, danke...
Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
So etwa:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# Start of entries
80270000000000000003-20000001 konnektor.konlan
Danke + Gruß, UC
Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
So etwa:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# Start of entries
80270000000000000003-20000001 konnektor.konlan
Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan
Danke + Gruß, UC
Moin,
Gruß,
Cani
Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
halte dich doch an das Beispiel in der HOSTS Datei. Zuerst kommt die IP-Adresse und nach einem Leerzeichen der DNS-Name.192.168.x.y 80270000000000000003-20000001
192.168.x.y konnektor.konlanGruß,
Cani
Nabend, habt ihr das Problem mit der Zertifikatskette gelöst bekommen?
Ich habe zwar kein Problem bei der Zertifikatskette, aber mit der CETP- Benachrichtigung
Ohne Sicherheits (Zertifikat) lässt sich die eGK zwar einlesen aber nicht aus der TI abgleichen.
Ich möchte aber natürlich das durch ein Zertifikat gesichert haben.
Ich habe zwar kein Problem bei der Zertifikatskette, aber mit der CETP- Benachrichtigung
Ohne Sicherheits (Zertifikat) lässt sich die eGK zwar einlesen aber nicht aus der TI abgleichen.
Ich möchte aber natürlich das durch ein Zertifikat gesichert haben.
