Nach dem Tausch einer SMC-B kommt bei unseren Kunden manchmal einige Zeit lang die Meldung “Die Nachricht konnte nicht entschlüsselt werden”, wenn der Anwender Kim-Nachrichten abholt. Auch das erneute sich selbst Zuschicken der Nachrichten führt nicht zur Entschlüsselung.
Ich erkläre mir das damit, dass der öffentliche Schlüssel im LDAP-Verzeichnis, mit dem der Sender die Nachrichten verschlüsselt, nicht zum privaten Schlüssel in der SMC-B des Empfängers, mit dem dieser die Nachrichten entschlüsseln will, passt. (Ferner durch das Cachen der Öffentlichen Schlüssel im Kim-Client des Senders )
In der Regel löst sich dieses Problem bei neuen Nachrichten von alleine nach ein paar Tagen. Und der Empfänger muss halt die Nachrichten, die er nicht entschlüsseln kann, von den Sendern neu anfordern.
Ich habe jetzt allerdings den Fall eines Kunden, der versehentlich vor zwei Jahren (viel zu früh) eine neue SMC-B bestellt hat, diese aber erst jetzt installieren hat lassen. Hier lassen sich Kim-Nachrichten dauerhaft nicht entschlüsseln.
Deshalb hier meine ganz allgemeine Frage: Wer veranlasst wie und wann die Aktualisierung des öffentlichen Schlüssels im LDAP-Dienst, nachdem eine SMC-B getauscht wurde? Und wie geht man am besten vor, damit der Tausch einer SMC-B bezüglich Kim möglichst reibungslos vonstatten geht?
Also "eigentlich" (nach Spezifikationsvorgabe) ist es so:
Jede Einrichtung hat eine einzige, feste Telematik-ID (TID).
jede SMC-B, die eine Einrichtung bekommt (egal wann), hat die identische TID dieser Einrichtung
Alle Zertifikate aller SMC-B einer Einrichtung werden automatisch im VZD hinterlegt.
Eine KIM-Adresse wird nicht einer SMC-B sondern einer TID (Telematik-ID) zugeordnet
Jede KIM-Nachricht an einen Empfänger wird immer für alle zum Absendezeitpunkt im VZD hinterlegten SMC-B-Zertifikate verschlüsselt.
Folglich kann jede empfange KIM-Nachricht mit einer der vorhandenen SMC-Bs entschlüsselt werden (deren Zertifikat zum Absendezeitpunkt im VZD hinterlegt war).
Das empfohlene Vorgehen für Praxen lautet daher:
Ersatz-SMC-Bs immer so zeitig bestellen, dass die alte SMC-B erst abläuft, wenn die neue SMC-B mindestens schon eine Woche da ist
Die neue SMC-B zusätzlich zur alten SMC-B einsetzen, bis die alte abläuft
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!