Funktionsweise der mTSL-Verbindung zwischen Client und KoCoBox

TI-Community �

TI-Nutzung und Nutzen aus Anwendersicht � TI-Plattform - Hardware, Zugang, Einrichtung � Funktionsweise der mTSL-Verbindung zwischen Client und KoCoBox

Themen-Einstellungen

Thema drucken

Bereich wechseln

Allgemeine Informationen Forumsthemen Aktuelle News TI-Veranstaltungen TI-Finanzierungsaspekte TI-Nutzung und Nutzen aus Anwendersicht elektronische Patientenakte (ePA) elektronisches Rezept (eRx) sichere eMail (KIM) elektronische Arbeitsunf�higkeitsbescheinigung (eAU) TI-Messenger (TIM) Weitere Anwendungen: VSDM, NFDM, eMP, DEMIS, etc. TI-Plattform - Hardware, Zugang, Einrichtung Krankenhausspezifische Themen Administration und Einrichtung Konfiguration Best Practices Problembeseitigung Hersteller- und Zulassungsthemen Konzepte, Spezifikationen, Richtlinie Best�tigungs- und Zulassungsverfahren Betriebliche Steuerung Serviceprodukte der gematik Gesch�tzter Herstellerbereich Aktuelle Gesetzeslage In Arbeit befindliche Gesetze Konnektoren der Industrie CGM-Konnektor secunet-Konnektor RISE-Konnektor T-System-Konnektor Kartenterminals der Industrie Cherry eGK Tastatur G87_1505 Cherry ST-1506 (in Zulassung) Ingenico ORGA 6141 online Ingenico Orga 930M Zemo VML GK2 Zugangsdienste der Industrie Prim�rsysteme Krankenkassen-Angebote elektronische Gesundheitskarte (eGK) elektronische Patientenakte (ePA) Diskussionen zu Industrieprodukten allgemein Allgemeines zu den Best�tigungs- und Zulassungsverfahren Produktzulassungen Anbieterzulassungen Feldtest Best�tigungsverfahren FdV-Hersteller Best�tigungsverfahren Prim�rsysteme Best�tigung als weitere Anwendung der TI Diskussionen zu Zulassungsverfahren Diskussionen zum operativen Betrieb der TI

#1 | Funktionsweise der mTSL-Verbindung zwischen Client und KoCoBox datum

20.10.2025 15:13

Die mTSL-Verbindung (mutual TLS) stellt die abgesicherte Kommunikation zwischen einem Praxis-Client (z. B. PVS oder KIM-Software) und dem Konnektor (z. B. KoCoBox) her. Sie basiert auf gegenseitiger Authentifizierung über Zertifikate.

Client (PVS z.B. evident/KIM) <---- mTLS ----> KoCoBox (IP 192.168.x.x)

TLS-Handshake

Der Client öffnet eine Verbindung zu einem Dienst des Konnektors (z. B. Port 636 (LDAPS), 443 (HTTPS) 443 oder Webadmin 9443).

Der Konnektor präsentiert als Serverzertifikat das Zertifikat der Konnektor-Karte (KT). Dieses Zertifikat befindet sich physisch auf der im Konnektor gesteckten KT-Karte und ist durch gematik signiert. → Es kann RSA und/oder ECC (Brainpool/NIST) sein, je nach Kartenversion.

Server-Authentifizierung

Der Client prüft das Zertifikat gegen die gematik-Trustchain (GEM.RCA6 → GEM.KOMP-CA7 für RSA oder GEM.RCA4 → GEM.KOMP-CA6 für ECC). Deswegen müssen die Gematik Zertifikate in dem Certificate Store importiert werden.

Client-Authentifizierung

Der Konnektor fordert anschließend ein Client-Zertifikat an. Dieses Client-Zertifikat wird im Konnektor-Interface (GUI) des Konnektors bei KocoBox normalerweise generiert. Es ist ein eigenes Zertifikat (lokal gespeichert als .p12, nicht auf einer Karte).

Schlüsselaustausch & Datenübertragung

Beide Seiten verwenden nun ihre privaten Schlüssel zur Aushandlung des Sitzungsschlüssels. Ab dann erfolgt die verschlüsselte Kommunikation (z. B. SOAP- oder REST-Aufrufe).

Zertifikate mit OpenSSL auslesen

Serverzertifikat vom Konnektor abrufen (unter Windows mit openSSL):

openssl s_client -connect 192.168.x.x:636 -tls1_2 -groups brainpoolP256r1:P-256:P-384 -showcerts

Server certificate
subject=C=DE, ST=Berlin, L=Berlin, postalCode=10963, street=Dessauerstr. 28/29, O=KoCo Connector GmbH, CN=8027XXXXXXXXXXXXXXX-XXXXXXXX -> das findet man in KoCoBox auf die KT Zertifikate
issuer=C=DE, O=gematik GmbH, OU=Komponenten-CA der Telematikinfrastruktur, CN=GEM.KOMP-CA6
---
No client certificate CA names sent
Client Certificate Types: ECDSA sign, RSA sign, DSA sign
Requested Signature Algorithms: ECDSA+SHA256:RSA+SHA256
Shared Requested Signature Algorithms: ECDSA+SHA256:RSA+SHA256
Peer signing digest: SHA256
Peer signature type: ecdsa_secp256r1_sha256
Peer Temp Key: ECDH, brainpoolP256r1, 256 bits
---
SSL handshake has read 1175 bytes and written 791 bytes
Verification error: unable to verify the first certificate -> normal, da wir kein Client

Wenn der Port RSA unterstützt, dann geht es ohne -groups brainpoolP256r1:P-256:P-384

openssl s_client -connect 192.168.x.x:9443 -showcerts

Peer signature type: rsa_pkcs1_sha256
Peer Temp Key: ECDH, prime256v1, 256 bits

Wichtige Punkte

Das Serverzertifikat kommt direkt von der KT-Karte im Konnektor. Ein Wechsel der Karte ändert automatisch das angebotene Zertifikat.

Das Client-Zertifikat wird im Konnektor-Interface erstellt, z. B. für Evident, CGM KIM, etc. Es ist unabhängig vom KT-Zertifikat.

Mein KoCoBox bietet auf den Ports 636 und 443 ausschließlich ECC-Zertifikate an. Auf 9443 wird auch RSA angeboten.

Antworten

ECC Prüfung auf alle Karten- was wo schauen ? � � neuen EHBA parallell registrieren im PVS? Frist für Freischaltung Zertifikate bei D-Trust für EHBA?

�hnliche Themen

Antworten

Letzter Beitrag

Verbindung von Thunderbird zum KocoBox Telematik LDAP
Erstellt im Forum Konfiguration von rac 6 20.10.2025 15:24
rac • Zugriffe: 561
mit HBA und KocoBox signieren SecSigner
Erstellt im Forum Problembeseitigung von daniel_f 2 14.02.2024 15:11
LabQ • Zugriffe: 1010
eRezept mit Kocobox und evident
Erstellt im Forum elektronisches Rezept (eRx) von rac 0 09.01.2024 15:33
rac • Zugriffe: 1032

Zertifikat im T-KIM-Client Modul nach Erneuerung Clientzertifikat im Konnektor ändern
Erstellt im Forum TI-Plattform - Hardware, Zugang, Einrichtung von Stefan

13.12.2023 19:10
von

MarcusD • Zugriffe: 1130

Kocobox Firewall blockt Anfragen von Clientsystemen
Erstellt im Forum sichere eMail (KIM) von MiRei 28 14.01.2023 23:56
Junioruser1976 • Zugriffe: 6613
KIM läuft nicht mit DSWIN + Rise-KIM-Client + KoCoBox
Erstellt im Forum sichere eMail (KIM) von Nick O. 6 21.01.2022 20:24
k_becker • Zugriffe: 2156
Wie kann man das CGM Client Modul auf Funktionsfähigkeit testen (erst mal ohne PVS)
Erstellt im Forum sichere eMail (KIM) von Susan 37 29.06.2022 18:16
Susan • Zugriffe: 9363
Einrichtung KIM via KoCoBox für CGM Z1 Verbindungsfehler Clientmodul
Erstellt im Forum sichere eMail (KIM) von computerfan3 11 13.12.2021 20:48
computerfan3 • Zugriffe: 5523
Problem KIM-Client (Telekom) mit KocoBox
Erstellt im Forum sichere eMail (KIM) von WolfgangD 23 13.11.2021 23:28
WolfgangD • Zugriffe: 8869

TI-Community

Bitte geben Sie einen Grund f�r die Verwarnung an