Problembeschreibung

  • Bei einigen KoCo Konnektoren schlägt der CRL-Download als Teilschritt nach der TSL-Aktualisierung fehl.
  • Die Folge ist, dass ein betroffener Konnektor über kurz oder lang in den Fehlerzustand "EC_CRL_Out_Of_Date" läuft. Dieser ist FATAL und hat eine Online Trennung von der TI zur Folge.
  • Ursache ist ein Bug in der KoCo Firmware.
  • Betroffen sind nur bestimmte Konnektoren, welche damals den Vertrauensraumwechsel von TSL_RSA auf TSL_RSA_ECC vor einem bestimmten Datum durchgeführt haben.

Detailliert

Auslöser:

TSL- und CRL-Downloads gem. "A_23274 - Starten des Downloads der CRL und der TSL" (https://gemspec.gematik.de/docs/gemSpec/gemSpec_Kon/gemSpec_Kon_V5.20.0/#A_23274 )

Erwartetes Verhalten:

Der Konnektor lädt ohne Fehler die neue TSL Herunter und lädt daraufhin die Neue CRL herunter. (Prüfbar u.A. dadurch, da bei einer neuen CRL ein neues Expiry Date hinterlegt ist)

Beobachtetes Verhalten:

Beschreibung:

Der Konnektor liefert:

  • täglich "Signaturprüfung der CRL fehlgeschlagen: Fehlercode 4130" nach TUC_KON_040
  • dann 3 Tage vor CRL-Ablauf wegen täglichen Scheiterns des Downloads: Fehlerzustand "EC_CRL_Expiring" als WARNING
  • und schließlich bei abgelaufener CRL: Fehlerzustand "EC_CRL_Out_Of_Date" als FATAL und Online Trennung von der TI

Zeitpunkt:

Täglich, wenn der Konnektor die TSL- und CRL-Aktualisierungen gem. "TIP1-A_4684 - Regelmäßige Aktualisierung der CRL und der TSL" durchführt (https://gemspec.gematik.de/docs/gemSpec/gemSpec_Kon/gemSpec_Kon_V5.20.0/#TIP1-A_4684 )

Reproduzierbarkeit: 

Tritt mit KoCo Boxen auf, welche vor einer bestimmten installierten SW-Version den Vertrauensraumwechsel von RSA nach ECC_RSA durchgeführt haben.

Ursache: 

Auslöser ist ein Bug in der KoCoBox, welcher die CERT_CRL_DOWNLOAD_ADDRESS beim Herunterladen einer neuen TSL nicht aktualisiert und immer noch die alte URL von der RSA_TSL beinhält.

Prozedur zur Behebung


Sollte ein Konnektor als CERT_CRL_DOWNLOAD_ADDRESS  nicht den aus der aktuellen TSL verwenden, gehen Sie bitte wie folgt vor:


SchrittDetails/Bemerkungen
1

Einspielen der für die ECC-Testwoche vorgesehenen FW-Version

CGM hat eine Vorabversion für den EBK bereitgestellt, welche für die Dauer der Testwoche installiert werden soll.

Bitte beachten Sie, dass die verlinkte Konnektor-FW noch nicht zugelassen ist. 

Folgendes muss umgesetzt werden:

Vor/während der Testwoche - Manuelle Installation der Vorabversion:

  1. Download* FW Image der Vorabversion: KoCo 5.5.14 

  2. Stelle sicher, dass die Autoupdate Funktionalität des Konnektors deaktiviert ist
  3. Installiere manuell die Vorabversion
  4. Starte den Konnektor neu
  5. Stelle durch Prüfung im Management-UI sicher, ob die FW Version tatsächlich installiert ist.
  6. fertig


*: Es ist ein Zugang zum RSA2ECC MS Teams Kanal notwendig. Bitte fordern Sie einen Zugang über das ServicePortal an, falls Sie nicht schon einen haben sollten.


Im Ordner gibt es das FW-Image für G3- und G4-Konnektoren.

Ob Sie  eine G3 oder G4 Version haben, könne Sie im management-UI unter "System" ermitteln:

Für einen G4 Konnektor ist das z.B:

Im Falle eines G3 Konnektor wäre die HW Version unintuitiverweise "2.0.0".

2

Aktualisierung der TSL durchführen mit einer der folgenden Möglichkeiten

a) manuell Einspielen

b) update der TSL auf dem Downloadpunkt abwarten


3Änderung der CERT_CRL_DOWNLOAD_ADDRESS  auf den korrekten Wert in der GUI überprüfen
4Downgrade der Konnektor-Firmware zurück auf die FW 5.5.12. (oder anderes zugelassenes Release)

(warning) Ein Weiterbetrieb mit der ECC-Testwochen-FW wird nicht empfohlen, da es sich um einen nicht zugelassenen Zwischenstand handelt.

Da der CRL Downloadpunkt nach Schritt 3 nun auf die Korrekte URL verweist und dies von der FW Version unabhängig im Konnektor persistiert wird, kann in diesem Schritt 4 auf eine zugelassene Version downgraded werden, ohne dass der Fehler des CRL-Downloads erneut auftritt.




  • No labels

1 Comment

  1. FW Links funktionieren nicht - Ordner ist leer bzw. errror 404