Problembeschreibung
- Bei einigen KoCo Konnektoren schlägt der CRL-Download als Teilschritt nach der TSL-Aktualisierung fehl.
- Die Folge ist, dass ein betroffener Konnektor über kurz oder lang in den Fehlerzustand "EC_CRL_Out_Of_Date" läuft. Dieser ist FATAL und hat eine Online Trennung von der TI zur Folge.
- Ursache ist ein Bug in der KoCo Firmware.
- Betroffen sind nur bestimmte Konnektoren, welche damals den Vertrauensraumwechsel von TSL_RSA auf TSL_RSA_ECC vor einem bestimmten Datum durchgeführt haben.
Detailliert
Auslöser:
TSL- und CRL-Downloads gem. "A_23274 - Starten des Downloads der CRL und der TSL" (https://gemspec.gematik.de/docs/gemSpec/gemSpec_Kon/gemSpec_Kon_V5.20.0/#A_23274 )
Erwartetes Verhalten:
Der Konnektor lädt ohne Fehler die neue TSL Herunter und lädt daraufhin die Neue CRL herunter. (Prüfbar u.A. dadurch, da bei einer neuen CRL ein neues Expiry Date hinterlegt ist)
Beobachtetes Verhalten:
Beschreibung:
Der Konnektor liefert:
- täglich "Signaturprüfung der CRL fehlgeschlagen: Fehlercode 4130" nach TUC_KON_040
- dann 3 Tage vor CRL-Ablauf wegen täglichen Scheiterns des Downloads: Fehlerzustand "EC_CRL_Expiring" als WARNING
- und schließlich bei abgelaufener CRL: Fehlerzustand "EC_CRL_Out_Of_Date" als FATAL und Online Trennung von der TI
Zeitpunkt:
Täglich, wenn der Konnektor die TSL- und CRL-Aktualisierungen gem. "TIP1-A_4684 - Regelmäßige Aktualisierung der CRL und der TSL" durchführt (https://gemspec.gematik.de/docs/gemSpec/gemSpec_Kon/gemSpec_Kon_V5.20.0/#TIP1-A_4684 )
Reproduzierbarkeit:
Tritt mit KoCo Boxen auf, welche vor einer bestimmten installierten SW-Version den Vertrauensraumwechsel von RSA nach ECC_RSA durchgeführt haben.
Ursache:
Auslöser ist ein Bug in der KoCoBox, welcher die CERT_CRL_DOWNLOAD_ADDRESS beim Herunterladen einer neuen TSL nicht aktualisiert und immer noch die alte URL von der RSA_TSL beinhält.
Prozedur zur Behebung
Sollte ein Konnektor als CERT_CRL_DOWNLOAD_ADDRESS nicht den aus der aktuellen TSL verwenden, gehen Sie bitte wie folgt vor:
| Schritt | Details/Bemerkungen | |
|---|---|---|
| 1 | Einspielen der für die ECC-Testwoche vorgesehenen FW-Version | CGM hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll. Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. Folgendes muss umgesetzt werden: Vor/während der Testwoche - Manuelle Installation der Vorabversion:
*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten. Im Ordner gibt es das FW-Image für G3- und G4-Konnektoren. Ob Sie eine G3 oder G4 Version haben, könne Sie im management-UI unter "System" ermitteln: Für einen G4 Konnektor ist das z.B:
Im Falle eines G3 Konnektor wäre die HW Version unintuitiverweise "2.0.0". |
| 2 | Aktualisierung der TSL durchführen mit einer der folgenden Möglichkeiten a) manuell Einspielen b) update der TSL auf dem Downloadpunkt abwarten | |
| 3 | Änderung der CERT_CRL_DOWNLOAD_ADDRESS auf den korrekten Wert in der GUI überprüfen | |
| 4 | Downgrade der Konnektor-Firmware zurück auf die FW 5.5.12. (oder anderes zugelassenes Release) |
Da der CRL Downloadpunkt nach Schritt 3 nun auf die Korrekte URL verweist und dies von der FW Version unabhängig im Konnektor persistiert wird, kann in diesem Schritt 4 auf eine zugelassene Version downgraded werden, ohne dass der Fehler des CRL-Downloads erneut auftritt. |
Ein Weiterbetrieb mit der ECC-Testwochen-FW wird nicht empfohlen, da es sich um einen nicht zugelassenen Zwischenstand handelt.
1 Comment
Vladimir Bleischwitz
14.03.2025FW Links funktionieren nicht - Ordner ist leer bzw. errror 404