Auf dieser Seite sind die bekannten potentiellen Probleme, welche im Zusammenhang der RSA-Abschaltung auftreten können zum Zweck der Unterstützung aller RU-Nutzer zur Behebung aufgelistet.

Diese Seite wird entsprechend des aktuellen Kenntnisstandes stetig erweitert. Wir empfehlen Ihnen diese Seite zu "beobachten", um bei Aktualisierungen informiert zu werden. 

Sollten Ihnen weitere hier nicht aufgeführte Probleme bekannt sein, so bitten wir Sie, diese über das ServiceDesk Portal zu melden.

Troubleshooting-Guide


TitelDetailbeschreibungTroubleshooting-ProzedurKommentare / Hinweise
1JWT Authentisierung mittels JWT schlägt fehl.

Die Konnektor/Consumer-Operation ExternalAuthenticate gibt einen mit ECC signierten Binärstring derzeit im DER ASN.1 Encoding zurück.


Die IDPs verlangen jedoch bei der ECC Signatur einer JWT Challenge, dass diese im "concatenated" format zurückgegeben werden.


Mögliche weitere Indizien für dieses Problem:

  • "Das AUT Zertifikat ist ungültig"
  • Fehler 2020

Konvertiere die DER ASN.1 encoded Signatur in eine "concatenated" encoded Signatur um, bevor diese via JWT an den IDP übergeben wird.

Eine Beispiel-Implementierung der Konvertierung kann hier bei der authenticator-app gefunden werden:

https://github.com/gematik/app-Authenticator/blob/2d0f87968be5540d67e75f36fbdd3bc9cb444aad/src/renderer/modules/gem-idp/services/signing-service.ts#L68

Ein weiteres Beispiel dafür gibt es hier in Java (special thanks to Manuel Blechschmidt thumbs up) :

https://github.com/ere-health/ere-ps-app/blob/main/src/main/java/health/ere/ps/service/connector/auth/SmcbAuthenticatorService.java#L208

Experimental: Signatur-Umkodierung in python (ohne irgendwelche Bibliotheken):

https://bitbucket.org/andreas_hallof/vsdm2/src/main/sig-conv.py

dort Funktion SigConvert()

Das Problem tritt bei RSA basierten Signaturen nicht auf, da es für PKCS#1 Signaturen nur das DER ASN.1 Encoding definiert ist. JWT "muss" dies daher akzeptieren.
2Konnektor kann keine VPN-Verbindung in die TI mehr aufbauen.

In folgenden Fällen kann es sein, dass die automatische Re-Registrierung des Konnektors mit ECC am VPN-Zugangsdienst nicht erfolgreich ist:

  • Die Funktionalität ist im Managementschnittstelle deaktiviert
  • Ein secunet-Konnektor wird genutzt. Dort ist die Funktionalität defaultmäßig deaktiviert.
  • Die automatische Re-Registrierung schlug/schlägt kontinuierlich fehl.
  1. Prüfe im management UI, ob die automatische Re-Registrierung am VPN-ZugD mit ECC aktiviert ist
    1. Falls ja, prüfe ob diese erfolgreich abgeschlossen ist (im UI oder Logs)
      1. Falls ja, prüfe ob der VPN-ZugD korrekt arbeitet.
      2. Falls nein, sammle Logs/Artefakte und erstelle ein ServiceDesk-Ticket
    2. Falls nein, versuche die Re-Registrierung manuell erneut anzustoßen (entweder mittels Option 1: "Aktivierung der autom. Re-Registrierung" oder Option 2: "Manuelle Re-Registrierung")
      1. Erfolgreich: Problem gelöst.
      2. Kein Erfolg: sammle Logs/Artefakte und erstelle ein ServiceDesk-Ticket
  2. Prüfe, ob die Registrierung mit ECC am VPN-ZugD erfolgreich erfolgt ist.

zu Schritt 1.b (Option 1):

Bei Secunet Konnektoren ist die Funktionalität zur automatischen Re-Registrierung mit ECC am VPNZugD defaultmäßig deaktiviert. Diese kann wie folgt aktiviert werden:

Konnektor → Netzwerk → VPN → VPN-Zugangsdienst → Erweiterte Einstellungen für die Freischaltung:

Das rot Markierte bitte aktivieren

Danach sollte Schritt 1.b automatisch innerhalb von 24 Stunden durch den Konnektor ausgeführt werden


zu Schritt 1.b. (Option 2):

Bei Secunet kann jederzeit außerhalb der Testwochen die manuelle Re-Registrierung wie folgt durchgeführt werden:

  1. Konnektor → Netzwerk → VPN → VPN-Zugangsdienst → Konnektor erneut freischalten...

2. "ECC" setzen, dann "Tick" klicken, dann SMC-B PIN am KT eingeben

Ergebnis:

Bei SMC-K Zertifikatstyp steht jetzt "RSA, ECC" und nicht mehr nur "RSA"


zu Schritt 2:

Im Management-UI des Secunet Konnektors:

Konnektor → Netzwerk → VPN → VPN-Zugangsdienst:

Ganz nach unten scrollen und den Bereich SMC-K Zertifikatstyp prüfen. Steht dort "ECC, RSA" bzw. nur "ECC" (und NICHT nur "RSA"), dann ist die Registrierung mit ECC am VPN-ZugD ordnungsgemäß erfolgt und der Konnektor wird bei der nächsten RSA-Abschaltung in der RU online in der TI bleiben.


Negativbeispiel #1:

Hier ein Beispiel-Screenshot eines Konnektors, der nur mit RSA am VPN-ZugD registriert ist und daher noch Re-Registriert werden muss:


Negativbeispiel #2:

Bei einigen Konnektoren kann es sein, dass das Feld "SMC-K Zertifikatstyp" nicht sichtbar ist:


Gehen Sie in diesem Fall wie folgt vor:

  1. bitte prüfen Sie zunächst, ob der betroffene Konnektor die aktuelle Firmware 5.50.4 oder höher installiert hat.


  2. Anschließend in der Konnektor Admin GUI folgendem Pfad folgen:

     → Netzwerk → VPN → VPN-Zugangsdienst → Registrierungsstatus abfragen.

  3. Wenn das nicht zum Erfolg führt, dann können sie noch folgendes probieren:


    1. → Netzwerk → VPN → VPN-Zugangsdienst → Konnektorfreischaltung zurücknehmen

    2. und anschließend

      → Netzwerk → VPN → VPN-Zugangsdienst → Konnektor erneut freischalten.

Danach sollte das Feld "SMC-K Zertifikatstyp" sichtbar sein und der Registrierungsstatus daraus abzulesen sein.


Positivbeispiel #1:

Hier ein Beispiel-Screenshot eines Konnektors, der nur mit mit ECC am VPN-ZugD registriert ist. Die Re-Registrierung mit ECC ist daher für dieses Gerät erfolgreich abgeschlossen:


Positivbeispiel #2:

Hier ein Beispiel-Screenshot eines Konnektors, der sowohl mit ECC als auch RSA am VPN-ZugD registriert ist (Mehrfachregistrierung). Die Re-Registrierung mit ECC ist daher für dieses Gerät erfolgreich abgeschlossen:


3Konnektor hat das Pairing zu KT(s) verloren.

In folgenden Fällen kann es sein, dass das KT-Pairing fehlerhaft ist:

  • Das betroffene KT ist mit RSA-Zertifikaten der gSMC-KT am Konnektor und vice versa gepairt
  • Das betroffene KT hat eine G2.0 gSMC-KT gesteckt (hat nur RSA-Material)

Paire die betroffenen KTs manuell von Grund auf neu mit dem Konnektor, indem für das Pairing ECC basierte Zertifikate genutzt werden.

Falls eine gSMC-KT mit G2.0 verbaut ist, ersetze die Karte gegen eine G2.1 Karte. Dann paire das KT mit der neuen Karte.


Hinweis: Ab der Verbreitung der zugelassenen PTV6 im Feld (erwartet frühestens ca. ab Mitte 2025) Werden bestehende RSA-Basierte Pairings automatisch auf ECC basierte Pairings überführt, sodass ab diesem Zeitpunkt manuelle neue Pairings nicht mehr notwendig werden.

4

Fehlermeldung CA-Zertifikat nicht in TSL gefunden.

Hier wird versucht mit RSA-Zertifikaten zu arbeiten und darum schlägt der Anwendungsfall fehl.Hier muss man vermutlich die eigene Software anpassen und dafür sorgen, dass mit ECC-Zertifikaten gearbeitet wird. 
  • Falls Karten-Zertifikate geprüft werden sollen, kann am Konnektor beim Aufruf von  ReadCardCertificate durch die explizite Angabe des Parameters Crypt=ECC sichergestellt werden, dass ECC basierte Zertifikatsreferenzen für die Prüfung zurückgegeben werden.
  • Gem. Known Errors Seite, Eintrag 1 sind Signaturzertifikate von RSA-Basierten RU-Zertifikaten für die Dauer der RU-Testwoche nicht prüfbar.
5Update der TSL schlägt fehl.

TSL kann nicht heruntergeladen werden, Downlaod nicht erfolgreich,...

Verwendeter Downlaodpunkt ist: ...

Es wird noch mit der RSA-TSL (also ohne ECC) gearbeitet. Dieser Downlaodpunkt ist für die Testwoche deaktiviert. 

(warning) Ab der Testwoche vom 24.02.2025 bleibt die RSA-TSL auch außerhalb der Testwoche dauerhaft deaktiviert.

ECC-Migration des Vertrauensraumes für den betroffenen Konnektor durchführen. 

Hier ist auch kein Wechsel zurück nach Abschluss der Testwoche sinnvoll. Lieber dauerhaft auf der ECC-TSL bleiben.

Und sicherstellen, dass die Downloadpunkte gemäß A_17680-01 konfiguriert sind!

6

Es werden ECC Testkarten benötigt. 

Hinweis: Testkarten der Generation G 2.1 enthalten bereits ECC-Zertifikate

Es liegen noch keine eGK / SMC-B / HBA Testkarten G2.1 vor.

Für eGK-/HBA-/SMC-B-Zertifikate werden bei der gematik entsprechende Testkarten der Generation G2.1 bestellt

(Kostenpflichtige) Bestellung von Testkarten:

https://fachportal.gematik.de/gematik-onlineshop/testkarten


7

Es werden ECC Testzertifikate benötigt.

Hinweis: Nicht relevant für PS-Hersteller, da diese keine Zertifikate aus dem PMS beziehen.

Es liegen noch keine ECC-Testzertifikate für Server / Fachdienste vor.

Für Komponenten-Zertifikate werden im PMS entsprechende Zertifikate beantragt, dafür muss vorher im ITSM eine entsprechende Berechtigung via Service Request beantragt werden.

SR im ITSM:

SR0110 - Berechtigung für die Organisation (generell und für die Hinterlegung von FQDN's)
SR0111 - Berechtigung für Antragsteller zum Zertifikatsbezug gemäß den Rechten der Organisation
SR0121 - Registrierung/Änderung eines TSP X.509 Dienstes (erfordert bei Dringlichkeit die Veröffentlichung einer Adhoc TSL)

8Für automatische Tests werden p12-Zertifikatsdateien benötigt

Für Tests ist das manuelle Stecken von Testkarten mitunter sehr aufwändig. Es ist möglich, statt des Steckens einer Karte auch die p12-Datei eines benötigten Zertifikats zu verwenden. 

Für einzelne gematik Testkarten können p12-Dateien der enthaltenen Zertifikate aus der ehealthCA exportiert werden.

Für entsprechende Aufträge bitte eine entsprechende email an pki@gematik.de schicken.


9Konnektor ist immer noch Offline, obwohl die Testwoche lange vorbei ist

In einigen Fällen kann es sein, dass der Konnektor nicht in der Lage ist, nach dem erneuten Zuschalten von RSA am Ende der Testwoche, die neue TSL herunterzuladen.

Dies kann bei Konnektoren aller Hersteller passieren.

  1. Im Management-Interface des Konnektors Leistungsumfang ONLINE deaktivieren
  2. Die neue TSL manuell über einen Browser herunterladen: https://download-ref.tsl.ti-dienste.de/ECC/ECC-RSA_TSL-ref.xml
  3. Im Management-Interface des Konnektors die heruntergeladene TSL .xml Datei manuell hochladen
  4. Im Management-Interface des Konnektors Leistungsumfang ONLINE wieder aktivieren
  5. Kurz warten (bis zu 10 Minuten) und hoffen, dass der Konnektor „TI-Online“ geht

Bei Secunet kann so vorgegangen werden:

  1. Im Management-Interface des Konnektors Leistungsumfang ONLINE deaktivieren: Netzwerk -> Allgemein -> Leistungsumfang Online… -> deaktivieren
  2. Die neue TSL manuell über einen Browser herunterladen: http://download-ref.tsl.ti-dienste.de/ECC/ECC-RSA_TSL-ref.xml
  3. Im Management-Interface des Konnektors: System -> Zertifikate -> TSL hochladen… -> die heruntergeladene TSL .xml Datei angeben
  4. Im Management-Interface des Konnektors Leistungsumfang ONLINE wieder aktivieren: Netzwerk -> Allgemein -> Leistungsumfang Online… -> wieder aktivieren
  5. Kurz warten (bis zu 10 Minuten) und hoffen, dass der Konnektor „TI-Online“ geht

Bei RISE kann man so vorgehen:

  1. Im Management-Interface des Konnektors Leistungsumfang ONLINE deaktivieren: Netzwerk -> Konnektor → Leistungsumfang und Grundeinstellungen → Haken aus dem Kästchen nehmen und Speichern, dann kurz auf Erfolg der Operation warten.
  2. Die neue TSL manuell über einen Browser herunterladen: http://download-ref.tsl.ti-dienste.de/ECC/ECC-RSA_TSL-ref.xml
  3. Im Management-Interface des Konnektors: Dienste → Zertifikatdienst → Reiter "Konfiguration" → Bei "TSL manuell importieren" auf "Importieren..." klicken -> die heruntergeladene TSL .xml Datei angeben
  4. Im Management-Interface des Konnektors Leistungsumfang ONLINE wieder aktivieren: Netzwerk -> Konnektor → Leistungsumfang und Grundeinstellungen → Haken wieder ins Kästchen setzen und Speichern, dann kurz auf Erfolg der Operation warten.
  5. Kurz warten (bis zu 10 Minuten) und hoffen, dass der Konnektor „TI-Online“ geht
10KoCo Konnektoren verlieren die VPN-Verbindung, obwohl die Testwoche lange vorbei ist

Die RSA-VPNK-CA's in der ECC_RSA TSL der RU verweisen alle auf den ServiceSupplyPoint http://download-testref.crl.ti-dienste.de/crl/vpnk-ecc.crl 

http://download-testref.crl.ti-dienste.de/crl/vpnk-ca1.crl ist in ECC_RSA TSL der RU nicht mehr referenziert.

Allerdings scheinen die KoCo Boxen hart auf http://download-testref.crl.ti-dienste.de/crl/vpnk-ca1.crl zu verweisen. Dadurch kann keine aktive CRL heruntergeladen werden. Sobald die in Konnektor vorhandene CRL nicht mehr gültig ist, geht der Konnektor in den Betriebszustand FATAL und geht offline:

http://download-testref.crl.ti-dienste.de/crl/vpnk-ca1.crl gehört zum Vertrauensraum der alten RSA TSL, welche in der RU nun bewusst abgeschalten wurde und auch nach der Testwoche abgeschalten bleibt)

Eine neue aktuelle CRL muss manuell in den Konnektor geladen werden.

  1. Dazu mit einem Browser die CRL manuell herunterladen durch Aufruf dieser URL: http://download-testref.crl.ti-dienste.de/crl/vpnk-ecc.crl  (Achtung: mit Chrome kann es zu Problemen beim Download kommen)
  2. Dann via Management-UI des Konnektors die CRL manuell hochladen:
  3. Fertig. Der Konnektor sollte daraufhin zeitnah wieder online gehen. (Neustart sollte nicht notwendig sein)

(warning) Ab der Testwoche vom 24.02.2025 bleibt die RSA-TSL auch außerhalb der Testwoche dauerhaft deaktiviert.

  • No labels

0 Comments

You are not logged in. Any changes you make will be marked as anonymous. You may want to Log In if you already have an account.
 

© gematik GmbH 2025