Admin
Um eine HTTPS-Verbindung mit Hilfe eines Server-Zertifikats einer eigenen Zertifizierungsstelle einrichten zu können, führen Sie nach einer Neuinstallation bzw. einem Update die nachfolgenden Schritte aus.
Hinweise zur Zertifikatserstellung:
Thema |
Erläuterung |
---|---|
Laufzeit |
Bitte beachten Sie, dass Zertifikate mit einer zu langen Gültigkeit von vielen Endgeräten bzw. Browsern abgelehnt werden. Wir empfehlen eine maximale Laufzeit von 398 Tagen ab Erstellungsdatum. |
CN / SAN |
Finden Sie heraus, mit welchem Host-Namen bzw. mit welcher IP-Adresse E-ConsentPro aus Ihrem Netz von den Anwendern aufgerufen werden soll. Dieser Host-Name bzw. diese IP-Adresse muss als Common Name (CN) im Zertifikat eingetragen sein. Zusätzlich sollte dieser Wert auch als Subject Alternative Name (SAN) eingetragen werden, da z. B. Google Chrome ab Version 58 keine Zertifikate ohne SAN mehr akzeptiert. |
Ablauf bei der Erstellung eines selbst-signierten Zertifikats
1.Haben Sie bei der Installation oder beim Update die Option "E-ConsentPro soll ein selbst-signiertes Zertifikat erstellen" ausgewählt, erstellt das Installationsprogramm automatisch ein selbst-signiertes CA-Zertifikat mit einem privaten Schlüssel:
<Installationsverzeichnis>\ca\certs\ca.cert.pem <Installationsverzeichnis>\ca\private\ca.key.pem |
Der private Schlüssel ca.key.pem ist passwortgeschützt. Das Kennwort wird in der Windows-Registrierung gespeichert. Das CA-Zertifikat hat eine Gültigkeit von 3650 Tagen.
2.Das Installationsprogramm erstellt ein Host-Zertifikat mit dem Betreff CN=DNS:<Hostname> oder CN=IP:<IP-Adresse>.
Das Host-Zertifikat ist vom CA-Zertifikat signiert und wird im Installationsverzeichnis gespeichert:
<Installationsverzeichnis>\ca\certs\host.cert.pem <Installationsverzeichnis>\ca\private\host.key.pem |
Das Host-Zertifikat läuft nach 365 Tagen ab.
3.Ein neuer PKCS#12-Keystore wird erstellt:
<Installationsverzeichnis>\tomcat\conf\ecp.keystore.p12 |
4.Das Host-Zertifikat wird zum Keystore hinzugefügt (alias=ecp) und die Schlüsseldatei ca\private\host.key.pem wird gelöscht.
5.Das CA-Zertifikat wird automatisch in folgendes Installationsverzeichnis hinzugefügt:
<Installationsverzeichnis> <Tomcat>jre\lib\security\cacerts |
Schritt 1 – Stamm-Zertifikat auf dem Anwender-PC importieren
Da Ihr eigenes Stamm-Zertifikat keine öffentliche Zertifizierungsstelle ist, werden Browser grundsätzlich Warnungen anzeigen, wenn Anwender versuchen, sich mit E-ConsentPro zu verbinden. Daher müssen Sie die Browser so konfigurieren, dass sie dem Server-Zertifikat vertrauen.
Hinweis Haben Sie bei der Installation oder beim Update die Option "E-ConsentPro soll ein selbst-signiertes Zertifikat erstellen" ausgewählt, wird das Stamm-Zertifikat in folgendem Installationsverzeichnis abgelegt:
|
1.Importieren Sie Ihr Stamm-Zertifikat auf den Anwender-PC.
Google Chrome |
>Importieren Sie das Zertifikat via Google Chrome anpassen und verwalten > Einstellungen > Datenschutz und Sicherheit > Sicherheit > Zertifikate verwalten > Importieren. |
Mozilla Firefox |
Firefox verwendet nicht die Zertifikatsverwaltung von Windows, sondern einen eigenen Zertifikatsspeicher. >Importieren Sie das Zertifikat in den Zertifikate-Manager von Firefox via Extras > Einstellungen > Datenschutz und Sicherheit > Zertifikate > Zertifikate anzeigen > Zertifizierungsstellen > Importieren. >Wählen Sie die Option Dieser CA vertrauen, um Websites zu identifizieren. |
Microsoft Edge |
Bei diesem Browser nutzen Sie das Tool "Microsoft Certificate Manager" zum Import. >Um dieses Tool aufzurufen, geben Sie unter Ausführen den Befehl "certmgr.msc" ein. >Markieren Sie im Tool den Ordner Vertrauenswürdige Stammzertifizierungsstellen. >Öffnen Sie Aktion > Alle Aufgaben > Importieren. |
Um das Zertifikat in Ihrem Netzwerk zu verteilen, nutzen Sie die übliche Vorgehensweise für Ihr Netzwerk, z. B. den Rollout über einen Zertifikatsserver.
2.Empfehlung: Starten Sie nach Änderungen den Browser neu.
Schritt 2 – Firewall-Regeln hinzufügen
>Konfigurieren Sie für eine HTTPS-Verbindung auf den E-ConsentPro-Server eine eingehende Regel für den bei der Installation gewählten Port in der Firewall.
Schritt 3 – Stamm-Zertifikat auf das mobile Endgerät importieren
Um das Zertifikat auf Ihren mobilen Endgeräten zu verteilen, nutzen Sie bitte die übliche Vorgehensweise für Ihr Netzwerk, z. B. über ein Mobile Device Management (MDM).
Falls Sie über kein MDM verfügen, können Sie das Stamm-Zertifikat auch händisch in Ihrem mobilen Endgerät importieren (siehe Stamm-Zertifikat in iPadOS-App importieren).
Schritt 4 – Verbindung in den Apps ändern
1.Passen Sie die Verbindung der Apps "Anamnese mobil" und "Aufklärung mobil" zum Server an.
Passen Sie gegebenenfalls auch die Verbindung der App "E-DocumentPro" an, falls Sie diese einsetzen.
2.Aktivieren Sie in den Einstellungen der jeweiligen App die Option E-ConsentPro (EDP) Server – Beim nächsten Start konfigurieren.
3.Öffnen Sie die App und speichern Sie die neue URL.
Wenn Sie die App anschließend erneut öffnen, verbindet sie sich wieder automatisch mit dem E-ConsentPro-Server, ohne die URL abzufragen.
Schritt 5 – Aufruf anpassen
>Passen Sie den Aufruf im Praxisverwaltungssystem (PVS) an.
Informationen hierzu finden Sie im Handbuch zum PVS oder erhalten Sie vom Hersteller der Praxisverwaltungssoftware.