Auf dieser Seite werden während der Testwoche aktuelle Informationen, Status-Updates, Eilmeldungen und Störungsmeldungen veröffentlicht. 

Es wird empfohlen, diese Seite aktiv zu beobachten und regelmäßig zu besuchen, um über den aktuellen Stand und eventuelle Ereignisse informiert zu sein.

 Aktueller Status der Testwoche:

  • Abschaltung RSA (QES/nonQES) und gematik Quickcheck abgeschlossen

  • Testumgebung RU für alle internen und externen Tester freigegeben 

 

Serviceportal

Change Planer RU:

Lagebild über die geplanten Changes während der Testwoche


Monitoring Lagebild der TI-Referenzumgebung (RU):

Lagebild RU


DatumUhrzeitKomponenteAktivitätDurch wen

Status

[ NOCH NICHT GESTARTET |

WIP/ON-TRACK |

FERTIG |

PROBLEM/VERZUG/BLOCKER ]

Bemerkung / Detail 

1




Abschaltung QES RSA



2

 

9:00

Pseudo-BNetzA-VLVeröffentlichung der ECC-Only Pseudo-BNetzA-VL am Downloadpunkt (RSA QES-SubCAs erhalten den Status withdrawn)gematik

FERTIG

Achtung, es gibt hier keine Trennung zwischen RU und TU.

3

 

9:00

ehcaAnpassung QES-OCSP-Signer der ehca, so dass diese mit "unknown" für die RSA-QES-Zertifikate antworten.gematik

FERTIG

Achtung, es gibt hier keine Trennung zwischen RU und TU.
4

 

ab 9:00

KonnektorenUpdate der ECC-Only Pseudo-BNetzA-VL

FERTIG

Die Aktualisierung der Pseudo-BNetzA-VL muss ggf. für jeden Konnektor manuell angestoßen werden. 
Bitte prüfen Sie nach Veröffentlichung der Pseudo BNetzA-VL, ob der Konnektor die korrekte Version 45 vom 07.05.25 geladen hat. 

5

 

ab 13:30

alleTestdurchführung durch RU-Nutzer.alle RU-Nutzer

FERTIG

Relevante Anwendungsfälle sind "eRezept signieren" und "NFD signieren".

6

 

15:00

Pseudo-BNetzA-VLVeröffentlichung einer neuen Pseudo-BNetzA-VL 46 am Downloadpunkt (RSA QES-SubCAs erhalten den Status withdrawn, Hinzufügen von passenden History-Einträgen)gematik

FERTIG

Die Aktualisierung der Pseudo-BNetzA-VL muss ggf. für jeden Konnektor manuell angestoßen werden. 
Bitte prüfen Sie nach Veröffentlichung der Pseudo BNetzA-VL, ob der Konnektor die korrekte Version 46 vom 13.05.25 geladen hat. 

Das sollte das Problem mit dem "Unknown"-Status für die RSA QES CA-Zertifikate lösen.

7

 

13:30

ehca

Anpassung QES-OCSP-Signer der ehca, so dass diese mit "unknown" für die RSA-QES-Zertifikate antworten.

Konfiguration vervollständigt (ECC-Signer angepasst)

gematik

FERTIG

Achtung, es gibt hier keine Trennung zwischen RU und TU.

Für RSA QES-Zertifikate wird bei der OCSP-Prüfung der Zertifikatsstatus Unknown zurückgegeben.

Die Fehlermeldungen "Warnung, dass zum an-
gefragten Zertifikat keine Statusinformationen verfügbar sind."

"... Die OCSP-Response enthält keine certHash-Erweiterung" 

sind möglich.

8




Abschaltung nonQES RSA



9

  

8:00 - 9:00

VZD-LDAPSicherung des LDAP-Inhaltsarvato

FERTIG


10

  

9:00TSL-DienstAlle RSA-Sub-CAs werden von den Internet-Downloadpunkten entfernt.arvato

FERTIG

SMCB-CA's verbleiben
11

  

9:30TSL-DienstVeröffentlichung einer Ad-hoc-ECC-TSL RU ohne RSA-CAs.gematik

FERTIG

modifizierte RSA SMCB-CA's verbleiben in der TSL (ext, oid_smcb_aut und oid_smcb_enc werden entfernt)

Hinweis: Es kann bis zu 24h dauern, bis alle Komponenten/Fachdienste die neue TSL eingelesen haben.

12

  

9:00VZD-LDAP/FHIRDeaktivierung der Synchronisation nach FHIRarvato

FERTIG


13

  

9:00VZD-LDAPDie RSA-Zertifikate werden aus dem LDAP-Verzeichnisdienst (VZD) entfernt.arvato

FERTIG


14

  

10:00VZD-LDAP

Interne Kommunikation von RSA auf ECC umstellen

arvato

FERTIG


15

  

10:00BDE

Umstellung auf ECC-only/ECC-preferred

gematik/SIM

FERTIG


16

  

10:00alleQuickcheck gematik

FERTIG

(warning)  Einige Komponenten beziehen nur alle 24 Stunden ihre TSL. Daher sind erfolgreiche Testergebnisse erst bei Testdurchführungen ab 10:00 wirklich aussagekräftig.

17

  

15:30alleTestdurchführung durch RU-Nutzeralle RU-Nutzer

WIP/ON-TRACK


18




Wiedereinschalten von RSA nach der Testwoche



19

9:00Pseudo-BNetzA-VLErzeugen und Veröffentlichen einer ECC-only-pseudo-BNetzA-VL bei der die relevanten RSA-SubCAs wieder den bisherigen Status erhalten.gematik


Die Aktualisierung der Pseudo-BNetzA-VL muss ggf. für jeden Konnektor manuell angestoßen werden. 
Bitte prüfen Sie nach Veröffentlichung der Pseudo BNetzA-VL, ob der Konnektor die korrekte Version ?? geladen hat. 
20

 

9:30ehcaAnpassung QES-OCSP-Signer der ehca, so dass diese wieder korrekt für die RSA-QES-Zertifikate antworten.gematik



21

  

9:00TSL-DienstVeröffentlichung einer neuen Ad-hoc-ECC-TSL, die den Zustand vor der Testwoche wiederherstellt.gematik



22

  

9:30VZD-LDAPDie RSA-Zertifikate werden über ein Backup wieder in den LDAP-VZD integriert.arvato



23

  

10:00VZD-LDAP/FHIRAktivierung der Synchronisation nach FHIRarvato



24

  

10:00BDEUmstellung auf Dual-Modus RSA/ECCgematik


(warning)  Einige Komponenten beziehen nur alle 24 Stunden ihre TSL. Daher sind erfolgreiche Testergebnisse erst bei Testdurchführungen ab 10:00 wirklich aussagekräftig.


  • No labels

3 Comments

  1. Benjamin Kim

    Hier heißt es (derzeit Zeile 5), dass alle RU-Nutzer die Testdurchführung am 13.05.2025 starten. In der Grafik/dem Gantt-Diagramm (RSA2ECC-Testwoche Q2 2025) steht, dass die Tests "intern/extern" (ich denke, das heißt "alle RU-Nutzer") für nonQES am 14.05.2025 startet. Was ist korrekt?

    Und: Wenn am 12.05.2025 RSA abgeschaltet und ECC-only/-preferred angeschaltet wird, und (vielleicht) erst am 14.05.2025 die Tests durch "intern/extern" durchgeführt werden, was dürfen dann die Primärsystemhersteller am 12. und 13.05.2025 (nicht) machen? Heißt das 2 Tage keine Testmöglichkeit für Primärsystemhersteller?

    1. Halecker, Birgit

      wie in der Tabelle: die Tests in der RU für QES können ab 13.5.25 nach 9 Uhr starten, da können die internen und externen Tests parallel laufen

  2. Hoge, Jakob

    Hinweis: Beim Secunet-Konnektor kann man nach einem manuellen Update die aktuelle  BNetzA-VL Version schön anzeigen lassen ( ob es die richtige ist ) und runterladen. Ich hatte die diese dann im Test-Kanal bereitgestellt. In Zukunft könnte es besser sein, wenn einfach gleich die Datei hier in der Tabelle von den "Verantwortlichen" eingefügt wird. Bei RISE und Koco kann man sehen ob die 45 oder 46 BnetzA genutzt wird. Bei Koco wird es im Status angezeigt. Sonst bei secunet unter system Zertifikate und bei rise unter dienste zertifikatsdients .