Neues TLS-Serverzertifikat für den GKV-Kommunikationsserver ab 14.05.2024
Ein neues TLS-Serverzertifikat wird am 14. Mai 2024 eingeführt. Dies erfordert eine zwingende Aktualisierung der SSL-Client Zertifikatsliste, die für die sichere Kommunikation mit den Krankenkassen verwendet wird. Das neue Zertifikat ist zwingend vor dem 14.05.2024 einzuspielen.
Aktualisierung der Zertifikatskette und Notwendigkeit neuer Trust Anchors
TLS-Zertifikate sind für die HTTPS-Verbindungen zwischen SAP HR-Systemen und dem GKV-Kommunikationsserver notwendig, damit SV Meldungen wie z.B. Beitragsnachweise oder DEÜV-Meldungen sicher verschickt werden können.
Mit der Änderung des Herausgebers des Zertifikats beim bevorstehenden Update des TLS-Serverzertifikats werden ebenfalls das Intermediate- und das Root-Zertifikat ausgetauscht. Dies führt dazu, dass auch das für die Client-Seite notwendige Trust Anchor Zertifikat zur kryptographischen Überprüfung der Zertifikatskette des GKV-Kommunikationsservers angepasst werden muss.
Die Einführung eines neuen Root-Zertifikats macht es erforderlich, dass die SSL-Clients, welche für den Austausch von Daten mit den Krankenkassen genutzt werden, bis spätestens zum 14. Mai 2024 aktualisiert werden müssen. Andernfalls könnten ab dem Zeitpunkt der Umstellung des Server-Zertifikats Verbindungsunterbrechungen auftreten.
Daher empfehlen wir Ihnen, das neue Root-Zertifikat (GlobalSign Root R3) so bald wie möglich als zusätzlichen Trust Anchor in die Zertifikatslisten der betroffenen SSL-Client PSE aufzunehmen, um Verbindungsabbrüche nach dem Wechsel des Server-Zertifikats auf dem GKV-Kommunikationsserver zu vermeiden.
Aktuelle und geplante Zertifikate
Für eine sichere HTTPS-Verbindung ist eine Kette vertrauenswürdiger Zertifikate erforderlich, die von dem Trustcenter ausgestellt werden. Hier ist ein Überblick über die aktuelle und ab dem 14. Mai 2024 geplante Zertifikatskette für den GKV-Kommunikationsserver:
Zertifikat der GKV für den Kommunikationsserver
- Neues TLS-Serverzertifikat
- Inhaber: CN=*.gkv-kommunikationsserver.de
- Aussteller: GlobalSign GCC R3 DV TLS CA 2020, GlobalSign nv-sa, BE
- Gültigkeit: 22.04.2024 bis 24.05.2025
- Auslaufendes TLS-Serverzertifikat
- Inhaber: CN=*.gkv-kommunikationsserver.de
- Aussteller: AlphaSSL CA – SHA256 – G4, GlobalSign nv-sa, BE
- Gültigkeit: 11.01.2024 bis 11.02.2025
Intermediate-Zertifikat
- Neues Intermediate-Zertifikat
- Inhaber: GlobalSign GCC R3 DV TLS CA 2020, GlobalSign nv-sa, BE
- Aussteller: GlobalSign Root CA – R3, GlobalSign
- Gültigkeit: 28.07.2020 bis 18.03.2029
- Bisheriges Zertifikat
- Inhaber: AlphaSSL CA – SHA256 – G4, GlobalSign nv-sa, BE
- Aussteller: GlobalSign Root CA, GlobalSign
- Gültigkeit: 12.10.2022 bis 12.10.2027
Achtung: Falls dieses Zertifikat im SSL-Client verwendet wird, kann es nach dem 14.05.2024 aus der Zertifikatsliste entfernt werden.
Root-Zertifikat
- Neues Root-Zertifikat (GlobalSign Root R3)
- Verfügbar unter: GlobalSign Root R3
- Inhaber und Aussteller: GlobalSign, GlobalSign Root CA – R3
- Gültigkeit: 18.03.2009 bis 18.03.2029
- Bisheriges Root-Zertifikat (GlobalSign Root R1)
- Verfügbar unter: GlobalSign Root R1
- Inhaber und Aussteller: GlobalSign Root CA, GlobalSign
- Gültigkeit: 01.09.1998 bis 28.01.2028
Vorgehen im System
Die Zertifikate, die ab dem 14. Mai 2024 vom GKV-Server verwendet werden, finden Sie auf der Webseite der GKV oder als Anhang im SAP Hinweis 3459299 SV: Neues TLS-Serverzertifikat für GKV-Kommunikationsserver ab 14.05.2024.
Neue Zertifikate können Sie mithilfe der Transaktion STRUST in die Zertifikatsliste der SSL-Client PSE aufnehmen. Es ist möglich, dass das erforderliche Root-Zertifikat (GlobalSign Root R3) bereits in Ihrem SSL-Client vorhanden ist und nicht erneut eingefügt werden muss, da es sich um ein bereits in der Vergangenheit für den GKV-Server verwendetes Root-Zertifikat handelt.
Ältere, ungültige Zertifikate können Sie über die Transaktion STRUST im SSL-Client entfernen, um die Sicherheit und Aktualität zu gewährleisten.
Nachdem Änderungen am SSL-Client vorgenommen wurden, kann die Verbindung zum Server der GKV mit dem Report RPUSVHD1 von Ihnen überprüft werden.
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Umsetzung neuer gesetzlicher Regelungen?
Sprechen Sie uns gerne an! Einen direkten Link zum Kontaktformular finden Sie hier. Oder schauen Sie sich unseren SAP HCM Support Package Service L365 an.
Gibt es evtl. ein Thema, was Sie „brennend“ interessiert und worüber wir unbedingt schreiben sollten?
Dann schicken Sie uns Ihre Idee gerne per Mail über das folgende Kontaktformular! Vielen Dank im Voraus!