EMIL-Wurzelzertifikat

<< Klicken Sie, um das Inhaltsverzeichnis anzuzeigen >>

Navigation:  Technisches >

EMIL-Wurzelzertifikat

Für die verschlüsselte Verbindung zwischen den Geräten Ihrer Einrichtung (RITA-Tablets, EMIL-Arbeitsplätze, FHIR-Gegenstellen) und dem EMIL-Server wird ein Zertifikat benötigt, dem das jeweilige Gerät vertraut. Standardmäßig erzeugt der Server dieses Zertifikat bei der Einrichtung selbst und richtet dafür eine eigene, lokale Zertifizierungsstelle (Root-CA) ein. Deren Wurzelzertifikat muss einmalig auf den Geräten als vertrauenswürdig hinterlegt werden. Dieses Kapitel beschreibt, wie Sie das Wurzelzertifikat exportieren und auf den verschiedenen Geräten installieren.

Setzt Ihre Einrichtung stattdessen ein eigenes, öffentlich vertrautes Zertifikat für den Applikationsserver ein, entfällt die gesamte Wurzelzertifikat-Installation auf den Geräten. Details dazu unter Eigene Server-Zertifikate. Wie Sie den Bezug und die Erneuerung eigener Zertifikate automatisieren, beschreibt Automatischer Zertifikatsbezug über ACME.


Warum ein Wurzelzertifikat - und warum es sicher ist

In lokalen Netzwerken ist es nicht möglich, offizielle SSL-Zertifikate für Kunden im Voraus bereitzustellen, denn Servernamen und IP-Adressen unterscheiden sich individuell in allen Installationen und die Geräte sind zudem aus Sicherheitsgründen aus dem Internet nicht erreichbar, was für eine Verifizierung ohnehin erforderlich wäre.

Um dennoch eine sichere, verschlüsselte Verbindung herzustellen, erstellt der Server ein eigens für jede Installation generiertes Wurzelzertifikat. Dieses wird verwendet, um für die Endgeräte gültige Zertifikate auszustellen und regelmäßig zu erneuern. Nur der EMIL-Server kann darauf basierende Zertifikate erzeugen.

Das ist bewusst so gebaut und stellt kein Sicherheitsrisiko dar: Es handelt sich nicht um ein Herstellerzertifikat, dem alle Kunden gemeinsam vertrauen müssten. Das Wurzelzertifikat und sein privater Schlüssel werden bei der Installation vor Ort auf Basis kryptografischen Zufalls neu erzeugt und sind damit für jede Einrichtung individuell und einzigartig - niemand sonst besitzt dieses Zertifikat, auch der Hersteller nicht. Der private Schlüssel verlässt den Server nie; auf die Geräte gelangt ausschließlich der öffentliche Teil. Indem ein Gerät diesem Wurzelzertifikat vertraut, vertraut es genau diesem einen Server der Einrichtung - und keiner beliebigen dritten Stelle.

Die manuelle Installation des Wurzelzertifikats entfällt für die Nutzung von RITA von außerhalb des lokalen Netzwerkes über das ITC-Gateway - sofern diese Option aktiviert ist -, da sich das ITC-Gateway gegenüber Teilnehmern generell mit einem gültigen Zertifikat ausweist.


Wurzelzertifikat exportieren

Für die Verteilung auf die Geräte gibt es zwei Wege:

Als Datei exportieren (empfohlen für PCs und die Geräteverwaltung)

Öffnen Sie die EMIL-Systemeinstellungen (Administration|Systemeinstellungen) und klicken Sie auf die Schaltfläche Wurzelzertifikat exportieren. Speichern Sie die angebotene Datei (Vorgabename EMIL-stamm.crt). Diese Datei enthält ausschließlich den öffentlichen Teil des Wurzelzertifikats und kann gefahrlos verteilt werden - etwa per E-Mail, USB-Stick, Netzwerkfreigabe oder über eine zentrale Geräteverwaltung (MDM).

Hinweis: Im Eigenzertifikat-Modus (CUSTOMCERT) erzeugt der Server kein eigenes Wurzelzertifikat; die Schaltfläche ist dann ausgegraut.

Direkt auf ein Tablet herunterladen

Die Installation auf Tablets ist am einfachsten, wenn das Zertifikat direkt vom EMIL-Server heruntergeladen werden kann. Tragen Sie dazu in den Systemeinstellungen unter RITA einen Zertifikat-Download-Port ein, der von den Tablets aus auf dem EMIL-Server erreichbar ist. Nach spätestens 30 s können Sie am PC prüfen, ob der Endpunkt bereitsteht, indem Sie http://<Adresse des EMIL-Servers>:<Download-Port> aufrufen. Die Serveradresse finden Sie in allen Clients unter Hilfe|Protokolle als "Applikationsserver-Adresse".

Bitte beachten Sie, dass dieser Port in Firewalls zwischen Tablet und EMIL-Server freigegeben sein muss. Nach der Einrichtung aller Tablets können Sie den Download-Port durch Eingabe des Werts 0 wieder deaktivieren.

clip1049


Auf einem iPad installieren

Öffnen Sie mit Safari den Link http://<Adresse des EMIL-Servers>:<Download-Port>

Tippen Sie auf der Downloadseite des Sicherheitszertifikats auf "Zertifikat herunterladen".

Beantworten Sie die Frage "Diese Webseite versucht, ein Konfigurationsprofil zu laden. Darf sie das?" mit "Zulassen".

Die Meldung "Profil geladen" erscheint. Bitte erledigen Sie die folgenden Schritte rasch, da das iPad nach 8 min ein nicht aktiviertes Profil verwirft.

Öffnen Sie die Einstellungen Ihres iPads (Icon mit dem Zahnrad).

Gehen Sie  Allgemein → VPN & Geräteverwaltung.

Tippen Sie auf das neue Profil "ITC-Server ...".

Tippen Sie oben rechts auf Installieren.

Geben Sie ggf. Ihren iPad-PIN ein.

Bestätigen Sie die Warnung "Die Authentizität von ... kann nicht überprüft werden" mit Installieren. Diese Warnung zeigt an, dass es ein generiertes Wurzelzertifikat ist.

Wenn noch eine Rückfrage kommt, tippen Sie auf "Installieren".

Tippen Sie wieder oben rechts auf Fertig.

Gehen Sie nun auf Allgemein → Info  → Zertifikatsvertrauenseinstellungen (ganz unten).

Betätigen Sie dort für das Zertifikat ITC-EMIL-Installation das volle Vertrauen als Root-Zertifikat.

Damit ist das Zertifikat installiert. Wenn Sie das für alle Tablets durchgeführt haben, können Sie den Download-Port in den Einstellungen wieder löschen, wodurch der Endpunkt deaktiviert wird.

Anschließend richten Sie RITA auf dem iPad ein: RITA auf iPad einrichten.


Auf einem Android-Tablet installieren

Öffnen Sie mit Chrome den Link http://<Adresse des EMIL-Servers>:<Download-Port>

Bestätigen Sie "Datei kann nicht sicher heruntergeladen werden" mit "Behalten".

Wenn Optionen zum Öffnen angezeigt werden, wählen Sie bitte "Mit Zertifikats-Viewer öffnen".

Nun erfolgt ein Hinweis: "Dieses Zertifikat ... muss in den Einstellungen installiert werden.". Schließen Sie den Hinweis.

Öffnen Sie die Einstellungen des Geräts durch "Herunterziehen" von oben über das Zahnrädchen.

Navigieren Sie zu Sicherheit → Verschlüsselung & Anmeldedaten (je nach Android-Version ggf. Zertifikate installieren).

Wählen Sie Zertifikat installieren → CA-Zertifikat.

Bestätigen Sie die Warnung „Daten werden nicht geschützt“ mit Trotzdem installieren.

Geben Sie ggf. Ihre Geräte-PIN ein.

Wählen Sie in der Dateiauswahl "Downloads" und ggf. "Diese Woche" oder "Zuletzt heruntergeladen" und tippen Sie auf die Datei "RITA-stamm.crt".

Das Android-Tablet vertraut nun diesem Root-Zertifikat.

Anschließend richten Sie RITA auf dem Tablet ein: RITA auf Android einrichten.


Auf einem Windows-Arbeitsplatz installieren

Auf einem Windows-PC installieren Sie die zuvor exportierte Datei (EMIL-stamm.crt) in den Speicher Vertrauenswürdige Stammzertifizierungsstellen. Wählen Sie Aktueller Benutzer, wenn nur das eigene Konto vertrauen soll, oder Lokaler Computer (Administratorrechte erforderlich), damit alle Benutzer und Dienste des PCs vertrauen.

Über den Zertifikat-Import-Assistenten

Doppelklicken Sie die Datei EMIL-stamm.crt und klicken Sie auf "Zertifikat installieren...".

Wählen Sie als Speicherort "Aktueller Benutzer" oder "Lokaler Computer" und bestätigen Sie ggf. die Nachfrage der Benutzerkontensteuerung.

Wählen Sie "Alle Zertifikate in folgendem Speicher speichern" → Durchsuchen → "Vertrauenswürdige Stammzertifizierungsstellen".

Klicken Sie auf "Weiter" und "Fertig stellen".

Bestätigen Sie die Sicherheitswarnung, dass ein Stammzertifikat installiert wird, mit "Ja".

Alternativ per PowerShell oder certutil

Für die automatisierte Verteilung (z.B. per Skript oder Gruppenrichtlinie) können Sie das Zertifikat auch über die Kommandozeile installieren. Für den aktuellen Benutzer (ohne Administratorrechte):

Import-Certificate -FilePath "C:\Pfad\EMIL-stamm.crt" -CertStoreLocation Cert:\CurrentUser\Root

Für den gesamten Computer (Administrator-PowerShell erforderlich):

Import-Certificate -FilePath "C:\Pfad\EMIL-stamm.crt" -CertStoreLocation Cert:\LocalMachine\Root
certutil -addstore -f Root "C:\Pfad\EMIL-stamm.crt"

Hinweis: Die EMIL-Arbeitsplätze richten das für RITA benötigte Vertrauen für die eingebettete Vorschau automatisch ein. Die manuelle Windows-Installation ist dann sinnvoll, wenn andere Anwendungen des PCs (z.B. ein Browser oder eine FHIR-Gegenstelle) dem Server vertrauen müssen.