Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eigenzertifikat des TI-Konnektors ohne CA auf Win Server installieren

Mitglied: usercrash

usercrash (Level 1) - Jetzt verbinden

07.06.2019 um 09:29 Uhr, 382 Aufrufe, 16 Kommentare

Guten Morgen,
zur Einrichtung der Telematik-Infrastruktur TI im Gesundheitswesen wird im Lan ein sog. Konnektor installiert, der die VPN-Verbindungen zu den Konzentratoren der Telematik aufbaut.

Bei der Installation generiert dieser Konnektor (hier: T-Systems) abhängig von diversen Faktoren, Zugangsnummern, SMC-B usw. ein Eigenzertifikat, welches nicht durch eine CA beglaubigt oder überprüfbar ist (die Zertifikatkette ist unvollständig). Damit werden alle Verbindungen zum Konnektor aus dem Lan heraus gesichert/ verschlüsselt.

Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan

Und genau mit diesen unüblichen Webadressen haben lokale Programm Probleme (z.B. das PVS, Kasperky, bei Anmeldung an die Konfigurationsoberfläche per Browser) , da solche URL's als 'korrupt' oder 'not valid' bei der jeweiligen Ausnahmeliste abgelehnt werden.

Idee + Fragen:
Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren, damit alle User von den jeweiligen Fehlermeldungen a la "unvollständige Zertifikatkette" verschont bleiben?
Welche User-Anmeldung, damit alle User des Servers davon profitieren?
In welchen Speicher bei certmgr.msc muss man das importieren?
Eigene Zertifikate oder Andere Personen?

Danke für Tipps, beste Grüße, UC

screen-2019-06-06_20-50-50 - Klicke auf das Bild, um es zu vergrößernscreen-2019-06-06_20-41-46 - Klicke auf das Bild, um es zu vergrößern
Mitglied: keine-ahnung
07.06.2019 um 10:09 Uhr
Moin,

Kann man dieses Eigenzertifikat des Konnektor nicht dem Server (Win2008R2-64) bekannt geben/ dort installieren

das wird nix bringen, da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden. Ich habe das Geraffel letzte Woche bei mir installiert, konnte aber solche Fehlfunktionen nicht beobachten - was aber nichts heissen soll, da ich seitdem urlaube ... glaube aber eher, dass da bei der Einrichtung etwas nicht rund gelaufen ist.

LG, Thomas
Bitte warten ..
Mitglied: usercrash
07.06.2019, aktualisiert um 10:37 Uhr
Danke. Einrichtung lief weitgehend problemlos, Funktion ist ebenfalls ok, alle Lämpchen auf grün ;) ...

Wie kann ich (testhalber) ein Zertifikat für alle User/ die lokale Maschine im Speicher
HKEY_LOCAL_MACHINE / Vertrauenswürdige Stammzertifizierungsstellen
installieren?

Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.

EDIT:
Habe mal nur für den aktuellen User importiert. Bekommt man für ein solches Konnektor-Zertifikat vielleicht Gematik-Root-Zertifikate zum installieren?
screen-2019-06-07_09-57-18 - Klicke auf das Bild, um es zu vergrößern

LG, UC
Bitte warten ..
Mitglied: Dani
07.06.2019 um 13:44 Uhr
Moin,
Rufe ich certmgr auf, wird nur der lokale Benutzer gezeigt, beim Import ist bei Speicherort 'Aktueller Benutzer' ausgewählt und 'Lokaler Computer' ausgegraut.
Logo, du musst die Snapin als Administrator starten. Ein normaler Benutzer darf in Bereich "lokaler Computer" nichts machen.


Gruß,
Dani
Bitte warten ..
Mitglied: usercrash
07.06.2019, aktualisiert um 16:37 Uhr
EDIT:
Das Importieren nach Zertifikate > Lokaler Computer klappt jetzt,
habe mit mmc.exe das SnapIn Zertifikate(Lokaler Computer) eingebaut.

Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...

Und mir war so:
Muss bei RDP-Zugriff für den RDP-Nutzer der Zugriff auf die Zertifikate erlaubt werden? Wo?

Gibt es seitens der Gematik Root-CA-Zertifikate zum Download?
Standardmäßig sind die im BS ja nicht installiert.

Danke + Gruß, UC
Bitte warten ..
Mitglied: keine-ahnung
07.06.2019 um 17:30 Uhr
Moin,
Trotzdem wird die Zertifikatkette als 'unvollständig' bemängelt...

das ist IMHO feature, kein bug

da Teile des Schlüssels auch in der Hardware des Konnektors selbst vorgehalten und bereitgestellt werden

Du wirst m.E. kein gültiges Zertifikat aus einem Konnektor in ein Windows-System pressen können, und sollte es Dir doch gelingen, hast Du diese Prozedur im Wochentakt vor Dir, da die keys der TIS wohl in dieser Frequenz erneuert werden.

Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...

LG, Thomas
Bitte warten ..
Mitglied: usercrash
07.06.2019, aktualisiert um 21:16 Uhr
Hallo,

Ich kann leider aktuell nicht nachschauen, da im Urlaub und das Zertifikat ja auf der lokalen und aktuell stromlosen Büchse steckt ...

Schönen Urlaub! Danach hast Du Dich sicherlich dermaßen erholt/ gestärkt , dass Du mal einen Blick auf den Konnektor nebst den Zertifikaten werfen könntest? Danke...
Da muss es doch eine Lösung geben - die können seitens der TI doch keine Zertifikate nutzen, die dauerhaft von einschlägigen Sicherheitsmechanismen bemängelt werden. Da hängen doch auch große MVZs, Kliniken etc. dran, die drehen dann am Rad...

LG UC
Bitte warten ..
Mitglied: Dani
07.06.2019 um 19:25 Uhr
Moin,
nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.


Gruß,
Dani
Bitte warten ..
Mitglied: usercrash
07.06.2019 um 21:13 Uhr
Nabend,

nachdem Screenshot in deinem letzten Kommentar, ist das Zertifikat sehr wohl von einer offziellen CA ausgestellt. Öffne nochmals das Zertifikat und wechsele in den Reiter "Zertifizierungspfad" und poste davon einen Screenshot. Es könnte sein, dass einfach die Stammzertifizierungsstellen unvollständig sind.

bitte sehr. Wirklich aufschlussreich ist das IMHO nicht:

screen-2019-06-07_21-07-16 - Klicke auf das Bild, um es zu vergrößernscreen-2019-06-07_21-07-39 - Klicke auf das Bild, um es zu vergrößern

Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.

LG UC
Bitte warten ..
Mitglied: Dani
07.06.2019 um 21:43 Uhr
Moin,
es ist in der Tat ein Self-Signed-Zertifikat. Erkennt man ganz gut an der Laufzeit von 5 Jahren. Denn käufliche/signierte Zertifikate von vertrauenswürdige CAs dürfen maximal noch eine Laufzeit von 2 Jahren haben. Wobei die T-Systems ihre Finger im Spiel hat und die Zertifikate wohl nur innerhalb der Infrastruktur genutzt wird.

Es könnte ein Gematik.de Zertifikat als CA fungieren, nur finde ich da nichts.
Siehe hier


Gruß,
Dani
Bitte warten ..
Mitglied: usercrash
11.06.2019, aktualisiert um 11:22 Uhr
Moin und danke für den Link.

Die 'CA-Vertrauenskette' scheint aber trotzdem nicht vollständig, "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist."
Und nun?

Gruß UC

screen-2019-06-11_09-10-13 - Klicke auf das Bild, um es zu vergrößern

EDIT:
Weiteres zu den Zertifikaten im Kartenleser
https://ingenico.de/healthcare/downloads
01.
======================================================================================
02.
=== Release Notes zum Update der Zertifikatsliste TSL-PU vom 23.03.2018            ===
03.
======================================================================================
04.

05.
Update der internen TSL-PU Zertifikatsliste (Update von V1.0.0 auf V1.1.0).
06.
Andere FW-Komponenten werden nicht verändert.
07.

08.
==================================
09.
=== Generelle Anforderung      ===
10.
==================================
11.
* Nur für FW-Version V3.7.2 vom 19.10.2017 vorgesehen
12.

13.
==================================
14.
=== Zertifikate und Schlüssel  ===
15.
==================================
16.
* Folgende CA Zertifikate sind nach dem Update in der TSL "TSL-PU" enthalten:
17.
  
18.
 1  Gematik:
19.
    (Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA1)
20.

21.
 2  Gematik:
22.
    (Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA1)
23.

24.
 3  *** neu *** Gematik:
25.
    (Subject: C=DE, O=gematik GmbH, OU=Zentrale Root-CA der Telematikinfrastruktur, CN=GEM.RCA2)
26.

27.
 4  *** neu *** Gematik:
28.
    (Subject: C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA3)
29.

30.
==================================
Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..
Bitte warten ..
Mitglied: keine-ahnung
12.06.2019 um 08:57 Uhr
Moin,

"Diese Zertifikate sind im Kartenleser vorhanden, aber nicht unter Windows und werden dort bemängelt..!"

Ich habe doch jetzt schon wiederholt geschrieben, dass Teile der Zertifikate "hardwarekodiert" vom Konnektor vorgehalten und zur Verfügung gestellt werden - die bekommst Du nicht rauskopiert ... was glaubst Du, warum die beim Versand der Teile so einen Bohai betreiben?

LG, Thomas
Bitte warten ..
Mitglied: usercrash
12.06.2019 um 10:49 Uhr
Hallo,
das ist IMHO so nicht richtig, die Zertifikate werden auf einer offiziellen Webseite der Gematik zur Verfügung gestellt.

Hier erwähnt werden:
GEM.KOMP-CA3
und als Root:
GEM.RCA2

Kommen wir damit weiter?

LG UC
Bitte warten ..
Mitglied: keine-ahnung
12.06.2019 um 11:31 Uhr
Moin nochmal,

das ist IMHO so nicht richtig

das ist zumindest mein Kenntnisstand. Die GEMATIK wird sich da aber auch nicht in die letzte Karte schauen lassen. Die Tatsache, dass die Konnektoren wegen der Zertifizierungstechnologie eine vorgesehene Lebenserwartung von 60 Monaten nach Erstaktivierung haben, spricht aber m.E. dafür, dass zumindest Teile der Zertifikate dort vorgehalten werden und diese vermutlich weder überschreib- noch austauschbar sind.

LG, Thomas
Bitte warten ..
Mitglied: usercrash
13.06.2019, aktualisiert um 08:59 Uhr
Guten Morgen,
habe mal weiter experimentiert (Mittwoch Nachmittag ... ):
Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.

Dann wird letztendlich bemängelt, dass das Konnektor-Zertifikat nur für konnektor.konlan gültig sei, was als alternativer (!) DNS-Name im Zertifikat auch so hinterlegt ist. Der Aufruf aber erfolgt wohl über die krude 'Nummern-Url' a la 802xxxxx1.

Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?

Danke + Gruß, UC

20190612_155720 - Klicke auf das Bild, um es zu vergrößern20190612_155640 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dani
15.06.2019 um 19:33 Uhr
Moin,
Gibt es hier vlt. einen Ansatz, das konnektor.konlan evt. als Alias oder ähnliches zu definieren, damit die Namen passen? HOSTS?
Die HOST-Datei oder falls du einen DNS-Server im Einsatz hast.

Installiert man in Firefox oder certmgr die Gematik-Zertifikate GEM.KOMP-CA3 und GEM.RCA2, sind die Fehlermeldungen zur unvollständigen Zertifikatkette weg.
Das sollte auch bei Internet Explorer oder Google Chrome so sein.


Gruß,
Dani
Bitte warten ..
Mitglied: usercrash
16.06.2019, aktualisiert um 10:47 Uhr
HOSTS: Hmmm, danke...

Nur wie bringe ich die krude Zahlen-URL in der HOSTS unter?
So etwa:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# Start of entries
80270000000000000003-20000001 konnektor.konlan

Dieses Zertifikat arbeitet mit einer unüblichen Webadresse als Zahlenreihe:
80270000000000000003-20000001
Als alternativer DNS-Name ist zusätzlich eingetragen:
konnektor.konlan

Danke + Gruß, UC
Bitte warten ..
Ähnliche Inhalte
Server-Hardware

TI Umgebung mit gebrauchter Hardware. nur welche?

Frage von NordpolcamperServer-Hardware8 Kommentare

Servus! Ich möchte mich gerne in Sachen Serverbetrieb erweitern, bzw. ein paar Änderungen vornehmen. Stand der Dinge Derzeit befindet ...

Windows Server

Win 7 + Win Serv 2012: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

gelöst Frage von wixmixbinWindows Server2 Kommentare

Hallo zusammen, nach der Wiederherstellung von einer Win 7 Arbeitsstation mit Acronis ist kein Login möglich. Wenn PC vom ...

Batch & Shell

Varianble .ti funktioniert nicht innerhalb einer .bat

gelöst Frage von Andreas0815Batch & Shell3 Kommentare

Hallo zusammen, ich habe mit bat-Erstellung kaum Erfahrung, höchstens mal Programme starten Nun will ich eine einfach kleine Aufgabe ...

Grafikkarten & Monitore

SLI Verbund mit GTX 980 und 980 TI geht das ?

gelöst Frage von dressaGrafikkarten & Monitore3 Kommentare

Hallo miteinander. Ich besass bis vor kurzem 2 GTX 980 im SLI Verbund der gut funktionierte. Mit 3 Angehängten ...

Neue Wissensbeiträge
Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 9 StundenWindows 10

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Off Topic
Computermuseum Stuttgart
Tipp von NixVerstehen vor 16 StundenOff Topic1 Kommentar

Hallo zusammen, letzte Woche habe ich mit meinem 16-jährigen Sohn das Computermuseum Stuttgart (Uni Stuttgart) besucht, um ihm und ...

Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 21 StundenWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 1 TagWindows 105 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Heiß diskutierte Inhalte
Server
Wie kommunizieren Server ?
gelöst Frage von A12345Server25 Kommentare

Hallo liebe Forumsgemeinde, ich bin ein absoluter Neuling und habe nicht viel Ahnung von der IT. Allerdings habe ich ...

Server
ODBC Verbindung zu MYSQL funktioniert beim Einrichten nicht
Frage von martenkServer22 Kommentare

Guten Tag, versuche gerade von meinem PC eine ODBC Testverbindung zu meinem Server (bei 1und1) aufzubauen habe dazu mysql ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement20 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk19 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...