, , ,

Neues TLS-Serverzertifikat für den GKV-Kommunikationsserver ab 20.05.2025

Ein neues TLS-Serverzertifikat wird am 20. Mai 2025 eingeführt. Dies erfordert eine zwingende Aktualisierung der SSL-Client Zertifikatsliste, die für die sichere Kommunikation mit den Krankenkassen verwendet wird. Das neue Zertifikat ist zwingend vor dem 20.05.2025 einzuspielen.

Aktualisierung der Zertifikatskette und Notwendigkeit neuer Trust Anchors

TLS-Zertifikate sind für die HTTPS-Verbindungen zwischen SAP HR-Systemen und dem GKV-Kommunikationsserver notwendig, damit SV Meldungen wie z.B. Beitragsnachweise oder DEÜV-Meldungen sicher verschickt werden können.

Mit der Änderung des Herausgebers des Zertifikats beim bevorstehenden Update des TLS-Serverzertifikats werden ebenfalls das Intermediate- und das Root-Zertifikat ausgetauscht. Dies führt dazu, dass auch das für die Client-Seite notwendige Trust Anchor Zertifikat zur kryptographischen Überprüfung der Zertifikatskette des GKV-Kommunikationsservers angepasst werden muss.

Die Einführung eines neuen Root-Zertifikats macht es erforderlich, dass die SSL-Clients, welche für den Austausch von Daten mit den Krankenkassen genutzt werden, bis spätestens zum 20. Mai 2025 aktualisiert werden müssen. Andernfalls könnten ab dem Zeitpunkt der Umstellung des Server-Zertifikats Verbindungsunterbrechungen auftreten.

Daher empfehlen wir Ihnen, das neue Root-Zertifikat (GlobalSign Root R6) so bald wie möglich als zusätzlichen Trust Anchor in die Zertifikatslisten der betroffenen SSL-Client PSE aufzunehmen, um Verbindungsabbrüche nach dem Wechsel des Server-Zertifikats auf dem GKV-Kommunikationsserver zu vermeiden.

Aktuelle und geplante Zertifikate

Für eine sichere HTTPS-Verbindung ist eine Kette vertrauenswürdiger Zertifikate erforderlich, die von dem Trustcenter ausgestellt werden. Hier ist ein Überblick über die aktuelle und ab dem 20. Mai 2025 geplante Zertifikatskette für den GKV-Kommunikationsserver:

Zertifikat der GKV für den Kommunikationsserver

  1. Neues TLS-Serverzertifikat
    • Inhaber: CN=*.gkv-kommunikationsserver.de
    • Aussteller: CN=GlobalSign GCC R6 AlphaSSL CA 2023, O=GlobalSign nv-sa, C=BE
    • Gültigkeit: 16.04.2025 bis 18.05.2026
  2. Auslaufendes TLS-Serverzertifikat
    • Inhaber: CN=*.gkv-kommunikationsserver.de
    • Aussteller: CN=GlobalSign GCC R3 DV TLS CA 2020, O=GlobalSign nv-sa, C=BE
    • Gültigkeit: 22.04.2024 bis 24.05.2025

Falls das auslaufende TLS-Zertifikat im SSL-Client verwendet wird, kann es nach dem 20.05.2025 aus der Zertifikatsliste entfernt werden.

Intermediate-Zertifikat

  1. Neues Intermediate-Zertifikat
    • Inhaber: CN=GlobalSign GCC R6 AlphaSSL CA 2023, O=GlobalSign nv-sa, C=BE
    • Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R6
    • Gültigkeit: 19.07.2023 bis 19.07.2026
  2. Bisheriges Zertifikat
    • Inhaber: CN=GlobalSign GCC R3 DV TLS CA 2020, O=GlobalSign nv-sa, C=BE
    • Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R3
    • Gültigkeit: 28.07.2020 bis 18.03.2029

Falls das bisherige Intermediate-Zertifikat im SSL-Client verwendet wird, kann es nach dem 20.05.2025 aus der Zertifikatsliste entfernt werden.

Root-Zertifikat

  1. Neues Root-Zertifikat (GlobalSign Root R6)
    • Verfügbar unter: GlobalSign Root R6
    • Inhaber und Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R6
    • Gültigkeit: 10.12.2014 bis 10.12.2034
  2. Bisheriges Root-Zertifikat (GlobalSign Root R3)
    • Verfügbar unter: GlobalSign Root R3
    • Inhaber und Aussteller: CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA – R3
    • Gültigkeit: 18.03.2009 bis 18.03.2029

Vorgehen im System

Die Zertifikate, die ab dem 20. Mai 2025 vom GKV-Server verwendet werden, finden Sie auf der Webseite der GKV oder als Anhang im SAP Hinweis 3597427 SV: Neues TLS-Serverzertifikat für GKV-Kommunikationsserver ab 20.05.2025.

Neue Zertifikate können Sie mithilfe der Transaktion STRUST in die Zertifikatsliste der SSL-Client PSE aufnehmen. Es ist möglich, dass das erforderliche Root-Zertifikat (GlobalSign Root R6) bereits in Ihrem SSL-Client vorhanden ist und nicht erneut eingefügt werden muss, da es sich um ein bereits in der Vergangenheit für den GKV-Server verwendetes Root-Zertifikat handelt.

Ältere, ungültige Zertifikate können Sie über die Transaktion STRUST im SSL-Client entfernen, um die Sicherheit und Aktualität zu gewährleisten.

Nachdem Änderungen am SSL-Client vorgenommen wurden, kann die Verbindung zum Server der GKV mit dem Report RPUSVHD1 von Ihnen überprüft werden.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Umsetzung neuer gesetzlicher Regelungen?

Sprechen Sie uns gerne an! Einen direkten Link zum Kontaktformular finden Sie hier. Oder schauen Sie sich unseren SAP HCM Support Package Service L365 an.

Gibt es evtl. ein Thema, was Sie „brennend“ interessiert und worüber wir unbedingt schreiben sollten?

Dann schicken Sie uns Ihre Idee gerne per Mail über das folgende Kontaktformular! Vielen Dank im Voraus!

/von
Das könnte Dich auch interessieren
EntgeltabrechnungNeue Pfändungsfreigrenzen zum 01.07.2025 im SAP HCM
ELSTER-ERiC-Mindestversion zum 21. September 2020
Berechtigungen im SAPP_ABAP oder Wie hebele ich meine Berechtigungen aus?
EntgeltabrechnungEntgeltbescheinigungsverordnung ab 2023 (im SAP HCM) – Teil 1
Wachstumschancengesetz kommt: auch in SAP HCM Payroll
euBP: Neue Schnittstellenversion zum 01.01.2025

Interesse mit uns zusammenzuarbeiten?

LET’S TALK!

Kontakt

L3 Consulting GmbH
Akazienstraße 7A
30169 Hannover

T: +49 511 54 45 08 85
F: +49 511 54 45 77 96
E: info@L3Consulting.de

We want YOU!

Wir suchen für unser stetig wachsendes Team qualifizierte und motivierte Verstärkung.

Ob als Werkstudent, frisch von der Uni oder mit Berufspraxis – werde Teil unserer Crew!

Kontakt

L3 Consulting

Prüfreport zur versicherungsrechtlichen Beurteilung von Mini- und Midijobb...Entgeltabrechnung