1. Einleitung

Ab 2026 werden ECC (Elliptic Curve Cryptography) Zertifikate zum Standard für das gesamte Gesundheitssystem. Daher müssen alle Krankenhäuser und Praxen ECC verwenden. Gemäß dieser Anforderung wurde die von der Gematik GmbH entwickelte Authenticator-Anwendung so konzipiert, dass sie ECC NIST-Zertifikate unterstützt.

2. Zertifikatsunterstützung der Authenticator-Anwendung

Die Authenticator-Anwendung unterstützt derzeit nur bestimmte ECC-NIST-Kurven, und es gibt keinen Plan zur Unterstützung von Brainpool-Kurven. Da die Brainpool-Kurven bald aus dem Ökosystem entfernt werden, ist es sinnvoller, mit ECC NIST Kurven fortzufahren.

3. Aufbau einer TLS-Verbindung mit ECC

Für die notwendigen Einstellungen muss zuerst ein Zertifikat erstellt und danach, nach den erforderlichen Anpassungen, auf den Konnektor hochgeladen werden.​ Die Schritte zur Erstellung des Zertifikats finden Sie unten im 4. Schritt. Um die notwendigen Einstellungen am Konnektor vorzunehmen, finden Sie den Abschnitt für Ihren Konnektor am Ende der Dokumentation und folgen Sie den dort angegebenen Schritten.

4. Zertifikat erstellen und hochladen

Folgende Schritte sind notwendig, um ein selbst signiertes Zertifikat zu erstellen und im Konnektor zu laden:

1. Erstellen Sie die Konfigurationsdatei
   Erstellen Sie zunächst eine `openssl-custom.conf`-Datei im Verzeichnis, in dem Sie arbeiten, und fügen Sie den folgenden Inhalt ein:

   [ req ]
   distinguished_name = req_distinguished_name
   # Wählen Sie die gewünschte Erweiterung
   req_extensions = self_signed_server_cert
   prompt = no
   
   [ req_distinguished_name ]
   C  = DE
   ST = Berlin
   L  = Berlin
   O  = gematik GmbH
   OU = Authenticator Test
   # Je nach auszustellendem Zertifikat ändern
   CN = Konnektorfarm Authenticator
   
   [ self_signed_server_cert ]
   keyUsage = critical, digitalSignature, keyEncipherment, keyCertSign, cRLSign
   extendedKeyUsage = serverAuth
   basicConstraints = CA:TRUE
   subjectAltName = @subject_alternative_names
   
   [ subject_alternative_names ]
   IP.1 = *.*.*.*

   
   Falls der Konnektor keine feste IP-Adresse hat oder Sie die Einschränkung auf eine IP-Adresse vermeiden möchten, können Sie den Abschnitt subject_alternative_names löschen.
   
   
   

2. Erstellen Sie den privaten Schlüssel

   Öffnen Sie ein Terminal oder die Eingabeaufforderung und führen Sie den folgenden Befehl aus:
   
   

   openssl ecparam -genkey -name prime256v1 -noout -out rootCA.key

   Dieser Schritt erstellt die Datei rootCA.key, die Ihren privaten Schlüssel enthält.

   
   

3. Erstellen Sie eine Zertifikatsanforderung und ein selbst signiertes Zertifikat

   openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 365 -out rootCA.crt -config openssl-custom.conf -extensions self_signed_server_cert

   Das Ergebnis ist die Datei rootCA.crt, die das Zertifikat enthält.

4. Exportieren Sie das Zertifikat im PKCS#12-Format
   
   

   openssl pkcs12 -export -out rootCA.p12 -inkey rootCA.key -in rootCA.crt -name "My Root CA"

   
   Dieser Schritt erstellt die Datei rootCA.p12.

Hinweis: Überprüfen Sie nach jedem Schritt, ob die jeweiligen Dateien korrekt erstellt wurden.

Die oben angegebenen Werte dienen nur als Beispiele. Bitte passen Sie diese Einstellungen an Ihr eigenes System an. Diese Einstellungen müssen den Abschnitt 'self_signed_server_cert' unbedingt enthalten, wobei die Werte für 'keyUsage' und 'basicConstraints' unverändert bleiben sollten.

Nachdem Sie die Zertifikate erstellt haben, gibt es zwei Schritte, die Sie ausführen müssen:

• Laden Sie das p12-Zertifikat auf den Konnektor (die erforderlichen Anweisungen je nach Konnektortyp finden Sie unten).
• Kopieren Sie Ihr öffentliches Zertifikat in das certs-idp Verzeichnis der Authenticator-Anwendung*

Certs-idp Zertifikatspfad kann je nach Betriebssystem variieren. Bitte klicken Sie auf diesen Link, um den für Ihr System richtigen Pfad auszuwählen.

Konnektor-Einstellungen

Secunet:

Um die notwendigen Einstellungen unter Secunet vorzunehmen, öffnen Sie zuerst die Seite „Netzwerk“ und dann die „Erweiterten TLS-Einstellungen“.

Scrollen Sie auf der geöffneten Seite ganz nach unten und aktivieren Sie die Optionen „ECC-Ciphersuites verwenden“ und „ECC-Zertifikat zur Authentisierung gegenüber Clientsystemen nutzen“, wie im Bild gezeigt:

Anschließend klicken Sie erneut auf „Netzwerk“ und dann auf „Clientsystem-Einstellungen“. Nehmen Sie die im Bild gezeigten Einstellungen vor und klicken Sie anschließend auf den Button „Zertifikat (als p12 Keystore-Datei) hochladen“, um die Upload-Seite zu öffnen.​

Laden Sie auf der geöffneten Seite das p12-Zertifikat hoch, das Sie in den vorherigen Schritten erstellt haben, und geben Sie das Passwort ein, das Sie für die Datei festgelegt haben:

Mit diesem Schritt sind die notwendigen Vorgänge im Konnektor abgeschlossen.

Hinweis: Vergessen Sie nicht, die nach den oben genannten Schritten erstellte CRT-Datei in das entsprechende certs-konnektor -Verzeichnis des Authenticators hochzuladen.