psyprax
Kontakt
Inhaltsverzeichnis

Austausch der Konnektor-Zertifikate (ECC-Migration)

Lesezeit: 5 min

8. Mai 2026

Mit der Umstellung von RSA-Verschlüsselung auf ECC-Verschlüsselung soll langfristig die Sicherheit in der TI erhöht werden. Ist ein ECC-fähiger Konnektor vorhanden, ist für die Kommunikation zwischen psyprax und Konnektor ein Austausch der Zertifikate notwendig. Dieser Austausch wird mit Hilfe des ECC-Wizards „ECC-Migration“ durchgeführt.

Die ECC-Migration muss bis zum 30.06.2026 ausgeführt werden. Weitere Informationen der gematik zur ECC-Migration finden Sie hier.

Folgende Zertifikate werden durch den ECC-Wizard geprüft und gegebenenfalls ausgetauscht:

  • Zertifikat, mit dem sich der Konnektor gegenüber psyprax authentifiziert („Serverzertifikat“)
  • Zertifikat, mit dem sich psyprax gegenüber dem Konnektor authentifiziert („Clientzertifikat“)

Voraussetzungen #

  • KIM-Clientmodul mindestens ab Version 1.5.2.36
  • psyprax ab Version 3.26.2 (April 2026)
  • Sind die Zugangsdaten zum Konnektor nicht gespeichert, müssen diese vorliegen und gegebenenfalls eingegeben werden.

Durchführung #

Mit der Version 3.26.2.1 kann der ECC-Wizard je nach TI-Anbindung automatisch wie folgt aufgerufen werden: 

Lokaler SecuNet Konnektor psynapse+ TI-Gateway
  • automatischer Aufruf bei Programmstart
  • manuell aufrufbar
  • automatischer Aufruf bei Programmstart
  • manuell aufrufbar
  • automatischer Aufruf bei Programmstart ab Version 3.27.0.0 (voraussichtlich Ende Mai 2026)
  • manuell aufrufbar

Bitte haben Sie etwas Geduld bei der Durchführung des Assistenten. Das kann in manchen Fällen einige Minuten dauern, da hier auch externe Einflüsse wie bspw. Virenschutz dazukommen können.

Möchten Sie den ECC-Wizard manuell starten, navigieren Sie zu „Konnektor(TI)“ → „Lokale Netzwerkeinstellung“ und klicken Sie auf „ECC-Migration…”.

ECC-Wizard aufrufen
  1. Der Wizard prüft zunächst, ob die Option „Brainpool-Kurven“, die für die ECC-Verschlüsselung benötigt wird, in Windows aktiv ist.
    Ist sie nicht aktiv, wird folgende Meldung ausgegeben:
Brainpool-Kurven nicht aktiv 

Navigieren Sie in diesem Fall zu „Konnektor(TI)“ → „Lokale Netzwerkeinstellung” und klicken Sie auf „Brainpool-Kurven aktivieren“. Nach der Aktivierung wird eine Bestätigung angezeigt. Starten Sie dann den ECC-Wizard erneut. Für detaillierte Informationen zum Aufruf des ECC-Wizards, siehe Durchführung.

  1. Der aktuelle Stand der Zertifikate wird geprüft. Müssen Zertifikate ausgetauscht werden, wird dies in Spalte „Änderung erforderlich“ angezeigt. Um fortzufahren, klicken Sie auf „Weiter“.
Ergebnis einer Prüfung 
  1. Das Serverzertifikat muss ausgetauscht werden. Um fortzufahren, klicken Sie auf „Weiter“.
Serverzertifikat muss ausgetauscht werden
  1. Wenn Sie einen lokalen SecuNet-Konnektor verwenden, geben Sie die Super-Admin-Anmeldedaten für den Konnektor ein und klicken Sie auf „OK“.
Hinweis
  • Sie müssen die Anmeldedaten nur eingeben, wenn Sie einen SecuNet-Konnektor vor Ort oder TI-Gateway verwenden.
  • psynapse-Kunden müssen keine Anmeldedaten eingeben.
  • Bei RISE-Konnektoren (TI-Gateway) lautet der Benutzername superadmin“.
  • Checkbox „Anmeldedaten speichern“ aktivieren, um beim nächsten Verbindungsaufbau zum Konnektor die Anmeldedaten nicht erneut eingeben zu müssen. 
Konnektor-Anmeldedaten eingeben
  1. Das Serverzertifikat wird ausgetauscht. Wird „Erledigt“ angezeigt und hat psyprax sich erneut verbunden, klicken Sie auf „Weiter“.
Serverzertifikat wird ausgetauscht
  1. Das Clientzertifikat muss ausgetauscht werden. Um fortzufahren, klicken Sie auf „Weiter“.
Clientzertifikat muss ausgetauscht werden
  1. Wenn Sie einen lokalen SecuNet-Konnektor verwenden, geben Sie die Super-Admin-Anmeldedaten für den Konnektor ein und klicken Sie auf „OK“.
Hinweis
  • Sie müssen die Anmeldedaten nur eingeben, wenn Sie einen SecuNet-Konnektor vor Ort verwenden.
  • psynapse-Kunden müssen keine Anmeldedaten eingeben.
  • Wurden die Anmeldedaten bereits gespeichert, entfällt dieser Schritt.
Konnektor-Anmeldedaten eingeben
  1. Warten Sie, bis „Erledigt“ angezeigt wird. Wir empfehlen Ihnen, das neue Clientzertifikat zu sichern. Klicken Sie dazu auf „Clientzertifikat speichern“.
Clientzertifikat speichern
  1. Vergeben Sie ein Passwort für das Clientzertifikat und merken Sie sich dieses. Um die Daten zu bestätigen, auf „OK“ klicken.
Passwort für Clientzertifikat vergeben
  1. Es öffnet sich ein Speicherdialog. Wählen Sie einen Speicherort für das Clientzertifikat aus und speichern Sie es unter einem frei wählbaren Namen.
Clientzertifikat speichern
  1. Um fortzufahren, klicken Sie auf „Weiter“.
  2. Nach den Änderungen muss der Konnektor neu gestartet werden. Klicken Sie auf „Weiter“ und bestätigen Sie den Neustart mit „Ja“.
Hinweis
  • Der Neustart des Konnektors erfolgt nur, wenn ein SecuNet-Konnektor genutzt wird.
  • Bei TI-Gateway ist kein Neustart des Konnektors notwendig. Daher wird das Fenster für den Neustart nicht angezeigt.
Konnektor neu starten
  1. Der Neustart des Konnektors kann mehrere Minuten dauern. Wird „Erledigt“ angezeigt, klicken Sie auf „Weiter“.
  1. Die Änderungen werden an das KIM-Clientmodul gesendet. Wird „Erledigt“ angezeigt, auf „Beenden“ klicken. Der Vorgang ist abgeschlossen.
Änderungen werden an das KIM-Clientmodul gesendet

Video #

Das nachfolgende Tutorial zeigt ein beispielhaftes Vorgehen für den Fall, dass ein lokaler SecuNet-Konnektor genutzt wird. 

Sonderfall: Mehrere psyprax-Installationen #

Greifen mehrere psyprax-Installationen auf einen Konnektor zu, gehen Sie wie folgt vor:

  1. Führen Sie den ECC-Wizard auf der ersten Installation aus. Merken Sie sich das vergebene Passwort.
  2. Wenn Sie in Schritt „Clientzertifikat aktuell“ angelangt sind, exportieren Sie das neue Clientzertifikat. Klicken Sie dazu auf die Schaltfläche „Clientzertifikat speichern“.
Clientzertifikat speichern
  1. Schließen Sie die ECC-Migration auf der ersten Installation ab.
  2. Das gespeicherte Clientzertifikat muss mit dem dazugehörigen Passwort auch in die anderen psyprax-Installationen eingespielt werden. Starten Sie dazu die nächste psyprax-Installation.
  • Bei SecuNet-Konnektoren kann es vorkommen, dass beim Programmstart eine Meldung angezeigt wird, die auf eine Reparaturmöglichkeit hinweist. Klicken Sie in diesem Fall auf Schaltfläche „Reparaturversuch“. Kann die Verbindung zur TI anschließend aufgebaut werden, ist die ECC-Migration abgeschlossen.
  • War der Reparaturversuch nicht erfolgreich oder verwenden Sie einen anderen Konnektor, spielen Sie das gespeicherte Clientzertifikat manuell ein. Gehen Sie dazu wie folgt vor:
  1. In Psyprax zu „Konnektor(TI) → TI-Konfiguration (psyprax) → Client-System konfigurieren“ navigieren und „Konnektoren-Daten bearbeiten“ anklicken.
  2. Das Clientzertifikat, das bei der Durchführung auf der ersten Installation gespeichert wurde, einspielen und das Passwort eingeben.
Clientzertifikat in Psyprax importieren
  1. Klicken Sie auf die Schaltfläche „Serverzertifikat des Konnektors zurücksetzen“. Es erscheint eine Erfolgsmeldung.
  2. Wird keine Verbindung zur TI aufgebaut, wenden Sie sich bitte telefonisch oder über das Kontaktformular an unseren Support.
Wie hat Ihnen dieser Artikel gefallen?
Diesen Artikel teilen: