Neues TLS-Serverzertifikat für den GKV-Kommunikationsserver ab 12.05.2026

— UPDATE am 24.04.2026 —

Ab dem 12. Mai 2026 wird ein neues TLS-Serverzertifikat eingeführt. In diesem Zusammenhang sollte auch eine Prüfung der SSL-Client Zertifikatsliste durchgeführt werden, die für die sichere Kommunikation mit den Krankenkassen benötigt wird. Zudem wird die Laufzeit von ausgestellten TLS-Zertifikaten in den kommenden Jahren stufenweise auf maximal 47 Tage reduziert.

Aktualisierung der Zertifikatskette und Notwendigkeit neuer Trust Anchors

TLS-Zertifikate sind für die HTTPS-Verbindungen zwischen SAP HR-Systemen und dem GKV-Kommunikationsserver essenziell, damit SV-Meldungen wie beispielsweise Beitragsnachweise oder DEÜV-Meldungen sicher verschickt werden können.

Damit die kryptographische Überprüfung der Zertifikatskette durch das SAP-System reibungslos funktioniert, muss im System mindestens ein gültiges Zertifikat aus der Kette hinterlegt sein. Durch die anstehenden Zertifikatswechsel (TLS-Zertifikat und Intermediate-Zertifikat) sollten die SSL-Clients, die für den Datenaustausch mit den Krankenkassen genutzt werden, daher bis spätestens zum 12. Mai 2026 überprüft und ggf. aktualisiert werden. Andernfalls kann es zu Verbindungsabbrüchen ab dem Zeitpunkt der Umstellung kommen.

Außerdem wird, sofern dies bislang noch nicht erfolgt ist, bis zum Umstellungstag am 12. Mai 2026 die Aufnahme des Root-Zertifikats als zusätzlicher Trust Anchor in die Zertifkatsliste der SSL-Clients empfohlen. Durch die Aufnahme des entsprechenden Zertifikats in den SSL-Client wird gewährleistet, dass dieser auch bei Aktualisierungen von untergeordneten Zertifikaten in der Zertifikatskette (TLS-Zertifikat, Intermediate-Zertifikat) funktionsfähig bleibt. Somit kann der Verbindungsaufbau bereits über die alleinige Aufnahme des Root-Zertifikates im SSL-Client sichergestellt werden.

Aktuelle und geplante Zertifikate

Für eine sichere HTTPS-Verbindung ist eine Kette vertrauenswürdiger Zertifikate erforderlich, die von dem Trustcenter ausgestellt werden. Es folgt ein Überblick über die aktuelle und die ab dem 12. Mai 2026 geplante Zertifikatskette für den GKV-Kommunikationsserver:

Zertifikat der GKV für den Kommunikationsserver

1. Neues TLS-Serverzertifikat
   • Inhaber: CN=*.gkv-kommunikationsserver.de
   • Aussteller: CN=GlobalSign GCC R6 AlphaSSL CA 2025, O=GlobalSign nv-sa, C=BE
   • Gültigkeit: 07.04.2026 bis 23.10.2026
2. Auslaufendes TLS-Serverzertifikat
   • Inhaber: CN=*.gkv-kommunikationsserver.de
   • Aussteller: CN=GlobalSign GCC R6 AlphaSSL CA 2023, O=GlobalSign nv-sa, C=BE
   • Gültigkeit: 16.04.2025 bis 18.05.2026

Falls dieses Zertifikat im SSL-Client verwendet wird, kann es nach dem 18.05.2026 aus der Zertifikatsliste entfernt werden.

Intermediate-Zertifikat

1. Neues Intermediate-Zertifikat
   • Inhaber: CN=GlobalSign GCC R6 AlphaSSL CA 2025, O=GlobalSign nv-sa, C=BE
   • Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R6
   • Gültigkeit: 21.05.2025 bis 21.05.2027
2. Bisheriges Intermediate-Zertifikat
   • Inhaber: CN=GlobalSign GCC R6 AlphaSSL CA 2023, O=GlobalSign nv-sa, C=BE
   • Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R6
   • Gültigkeit: 19.07.2023 bis 19.07.2026

Falls dieses Zertifikat im SSL-Client verwendet wird, kann es nach dem 19.07.2026 aus der Zertifikatsliste entfernt werden.

Root-Zertifikat

Das derzeit verwendete Root-Zertifikat wird nicht aktualisiert und ist weiterhin gültig:

1. Aktuelles Root-Zertifikat (GlobalSign Root R6)
   • Verfügbar unter: GlobalSign Root R6
   • Inhaber und Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R6
   • Gültigkeit: 10.12.2014 bis 10.12.2034

Vorgehen im System

Die Zertifikate, die ab dem 12. Mai 2026 vom GKV-Server verwendet werden, finden Sie auf der Webseite der GKV.

Die neuen Zertifikate können Sie mithilfe der Transaktion STRUST in die Zertifikatsliste der SSL-Client PSE aufnehmen. Zudem sollte das Root-Zertifikat (GlobalSign Root R6), sofern nicht bereits im System hinterlegt, als zusätzlicher Trust Anchor hinzugefügt werden.

Ältere, bereits ungültige Zertifikate können Sie über die Transaktion STRUST im SSL-Client entfernen, um die Sicherheit und Aktualität Ihres Systems zu gewährleisten.

Nachdem Änderungen am SSL-Client vorgenommen wurden, kann die Verbindung zum Server der GKV mit dem Report RPUSVHD1 geprüft werden.

Zusätzliche Informationen zum Wechsel des TLS-Zertifikats befinden sich in SAP-Hinweis 3740562 – SV: Neues TLS-Serverzertifikat für GKV-Kommunikationsserver ab 12.05.2026.

Stufenweise Verkürzung der Laufzeit von TLS-Serverzertifikaten

In einem branchenweiten Beschluss des sogenannten CA/Browser Forums, in dem Zertifizierungsstellen und Browserhersteller gemeinsame Sicherheitsstandards definieren, wurde zudem beschlossen, die generelle Laufzeit von TLS-Serverzertifikaten in insgesamt drei Stufen zu verkürzen:

• ab 15.03.2026: maximal 200 Tage
• ab 15.03.2027: maximal 100 Tage
• ab 15.03.2029: maximal 47 Tage

So soll verhindert werden, dass kompromittierte oder fehlerhaft ausgestellte Zertifikate über einen längeren Zeitraum missbraucht werden. Kürzere Laufzeiten fördern zudem eine automatisierte Zertifikatsverwaltung.

Die SAP prüft vor dem Hintergrund der Laufzeitverkürzung daher Alternativen zur Ausrollung neuer TLS-Serverzertifikate via SAP-Hinweise.

Weitere Informationen zur Laufzeitverkürzung der TLS-Zertifikate finden Sie in SAP-Hinweis 3743249 – B2A-SV: Verkürzte Laufzeit der TLS-Zertifikate.

---

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Umsetzung neuer gesetzlicher Regelungen?

Sprechen Sie uns gerne an! Einen direkten Link zum Kontaktformular finden Sie hier. Oder schauen Sie sich unseren SAP HCM Support Package Service L365 an.

Gibt es evtl. ein Thema, was Sie „brennend“ interessiert und worüber wir unbedingt schreiben sollten?

Dann schicken Sie uns Ihre Idee gerne per Mail über das folgende Kontaktformular! Vielen Dank im Voraus!