Geräte in Betrieb nehmen
Inbetriebnahme des Kartenterminals
Schritt 1
Schalten Sie das Kartenterminal ein.
Schritt 2
Vergeben Sie die Admin-PIN.
Schritt 3
Richten Sie die Netzwerkkonfiguration DHCP nach Herstellerangaben ein.
Schritt 4
Erlauben Sie folgende Option am Kartenterminal(herstellerabhängig):
- Admin Session (Ingenico) bzw.
- administrative SICCT-Kommandos (Cherry)
Inbetriebnahme des Konnektors
Schritt 5
Der secunet konnektor kann möglicherweise mit einer älteren Stand der Firmware ausgeliefert worden sein. Die jeweils aktuelle Firmware ist via KSR (bei aktiver Verbindung zur Telematikinfrastruktur) oder als Offline-Update (unter dem Punkt Firmware) verfügbar. Nach der erfolgreichen Inbetriebnahme sollte deshalb die Version überprüft werden. Sofern verfügbar, sollte ein Update auf die aktuelle Version durchgeführt werden.
Schritt 6
Starten Sie den Konnektor durch kurzes Drücken des On/Off-Tasters auf der Rückseite des Gerätes. Sobald die LED für System durchgängig leuchtet, ist der Konnektor erfolgreich gestartet und steht bereit für die Einrichtung.
Schritt 7
Ermitteln Sie, nach erfolgreichem Bootvorgang, die IP-Adresse des Konnektors über die Bedienoberfläche des Routers oder mit Hilfe des Support-Kit.
Schritt 8
Rufen Sie die Oberfläche des Konnektors im Browser auf.
https://<IP des Konnektors>:8500/management
Schritt 9
Exportieren Sie das Zertifikat des Konnektors entsprechend der Beschreibung des Handbuchs.
Handbuch Kapitel 7.4.3 TLS-Zertifikat exportieren
Anschließend importieren Sie das Zertifikat auf dem System, von dem aus der Konnektor administriert werden soll. Gehen Sie dazu entsprechend der Beschreibung des Handbuchs vor.
Handbuch Kapitel 7.4.4 TLS-Zertifikat importieren und validieren
Schritt 10
Melden Sie sich mit dem Initialpasswort des Administrators an:
Benutzer: super
Passwort: konnektor
Schritt 11
Vergeben Sie sicheres Passwort entsprechend der Vorgaben und bestätigen Sie dieses durch eine erneute Eingabe.
Benutzer anlegen
Schritt 12
Legen Sie im ersten Schritt der Konfiguration die Benutzer der Praxis an. Wechseln Sie dazu in die Verwaltung der Benutzer:
Benutzer Verwaltung Neuen Benutzer anlegen ...
Neben dem Standardnutzer pro Praxis sollten Sie mindestens einen weiteren Super-Admin, einen lokaler Admin und einen Remote-Admin anlegen.
Grundlegend Konfiguration des Konnektors
Schritt 13
Überprüfen Sie die Systemzeit:
System Zeit
Korrigieren Sie die Systemzeit bei einer Abweichung von mehr als 30 Sekunden:
System Zeit Zeit einstellen
Schritt 14
Überprüfen Sie die Gültigkeit der TSL und CRL des Konnektors:
System Zertifikate
Schritt 15
Sofern die TSL abgelaufen ist, deaktivieren Sie Leistungsumfang Online:
Netzwerk Allgemein Leistungsumfang Online
Laden Sie anschließend die aktuelle TSL manuell herunter (z. B. via Support-Kit).
Spielen Sie die TSL am Konnektor ein:
System Zertifikate TSL hochladen …
Aktivieren Sie Leistungsumfang Online:
Netzwerk Allgemein Leistungsumfang Online
Starten Sie abschließend den Konnektor neu:
System Allgemein Neustart
-
46552
parseTSL: TSL not readable (I/O error).
Im Protokoll des Konnektors wird diese Fehlermeldung angezeigt, sofern ein Problem mit der eingespielten TSL vorliegt.
Lösung
Eine neue TSL wird spätestens sieben Tage vor Ablauf der Gültigkeit der aktuellen TSL, i.d.R. jedoch ca. alle zwei Wochen, durch die gematik bereitgestellt.
Zunächst prüfen, welche TSL aktuell im Konnektor eingespielt ist:
System > Zertifikate > TSL Information > Sequenznummer
Sofern durch die gematik eine neuere TSL bereitgestellt wurde, kann diese manuell eingespielt werden. Dazu deaktivieren Sie zunächst den Leistungsumfang Online:
Netzwerk > Allgemein > Leistungsumfang Online
Laden Sie anschließend die aktuelle TSL manuell herunter (z. B. via Support-Kit). Support-Kit laden >
Alternativ können Sie die aktuelle TSL hier und den zugehörigen Hashwert hier herunterladen.
Spielen Sie die TSL am Konnektor ein:
System > Zertifikate > TSL hochladen …
Aktivieren Sie Leistungsumfang Online:
Netzwerk > Allgemein > Leistungsumfang Online
Starten Sie abschließend den Konnektor neu:
System > Allgemein > Neustart
Schritt 16
Sofern die CRL des Konnektors abgelaufen ist, laden Sie die aktuelle CRL manuell herunter (z. B. via Support-Kit).
Spielen Sie die CRL am Konnektor ein:
System Zertifikate CRL (Zertifikats-Sperrliste) hochladen …
-
4173
Die CRL ist nicht mehr gültig (outdated).
Im Protokoll des Konnektors wird diese Fehlermeldung angezeigt, sofern ein Problem mit der eingespielten TSL vorliegt. Dieser Fehler ist eine Folgefehler von 46552 parseTSL: TSL not readable (I/O error).
siehe 46552 -
46552
parseTSL: TSL not readable (I/O error).
Im Protokoll des Konnektors wird diese Fehlermeldung angezeigt, sofern ein Problem mit der eingespielten TSL vorliegt.
Lösung
Eine neue TSL wird spätestens sieben Tage vor Ablauf der Gültigkeit der aktuellen TSL, i.d.R. jedoch ca. alle zwei Wochen, durch die gematik bereitgestellt.
Zunächst prüfen, welche TSL aktuell im Konnektor eingespielt ist:
System > Zertifikate > TSL Information > Sequenznummer
Sofern durch die gematik eine neuere TSL bereitgestellt wurde, kann diese manuell eingespielt werden. Dazu deaktivieren Sie zunächst den Leistungsumfang Online:
Netzwerk > Allgemein > Leistungsumfang Online
Laden Sie anschließend die aktuelle TSL manuell herunter (z. B. via Support-Kit). Support-Kit laden >
Alternativ können Sie die aktuelle TSL hier und den zugehörigen Hashwert hier herunterladen.
Spielen Sie die TSL am Konnektor ein:
System > Zertifikate > TSL hochladen …
Aktivieren Sie Leistungsumfang Online:
Netzwerk > Allgemein > Leistungsumfang Online
Starten Sie abschließend den Konnektor neu:
System > Allgemein > Neustart
Schritt 17
Nun müssen Sie die DNS-Domain Zugangsdienst korrekt konfigurieren.
Wenn der Konnektor für Zugangsdienst von arvato konfiguriert wird, müssen Sie die letzte Ziffer Ihrer Seriennummer ermitteln und die vorkonfigurierte DNS-Domain change.me wie folgt ändern:
...1 Arv-vpnzgd01.service-ti.de
...2 Arv-vpnzgd02.service-ti.de
...3 Arv-vpnzgd03.service-ti.de
...
...9 Arv-vpnzgd09.service-ti.de
...0 Arv-vpnzgd10.service-ti.de
Wenn der Konnektor für Zugangsdienst von T-Systems konfiguriert wird, müssen die vorkonfigurierte DNS-Domain change.me in einen dieser beiden DNS-Domain geändert werden:
- eqxffm.gem-vpn-zugd-tsi.de
- eshffm.gem-vpn-zugd-tsi.de
Die DNS-Domain ist anschließend in der entsprechenden Maske einzutragen:
VPN VPN-Zugangsdienst VPN-Zugangsdienstanbieter ...
Schritt 17b:
Nun müssen noch die entsprechenden IP-Adressen für die DNS-Server konfiguriert werden.
Wenn der Konnektor für Zugangsdienst von arvato konfiguriert wird, müssen die folgende DNS-Server konfiguriert werden:
- 185.91.107.68
- 146.185.102.25
- 52.59.164.18
Wenn der Konnektor für Zugangsdienst von T-Systems konfiguriert wird, müssen die folgende DNS-Server konfiguriert werden:
- 85.195.72.7
- 217.69.68.62
- 84.200.51.82
Die DNS-Server sind in der entsprechenden Maske hinzuzufügen:
VPN VPN-Zugangsdienst VPN-Zugangsdienstanbieter ...
Hinweis: Der vorkonfigurierte DNS-Server 8.8.8.8 kann danach gelöscht werden.
Schritt 17c (Netzwerk-Segmente)
Als nächstes müssen Sie die Netzwerk-Segmente korrekt konfigurieren.
Wenn der Konnektor für Zugangsdienst von arvato konfiguriert wird, müssen die folgende Netzwerk-Segmente konfiguriert werden:
TI Dezentral – Konnektoren 100.64.0.0/11
TI Dezentral SIS – Konnektoren 100.104.0.0/14
Wenn der Konnektor für Zugangsdienst von T-Systems konfiguriert wird, müssen die folgende Netzwerk-Segmente konfiguriert werden:
TI Dezentral – Konnektoren 100.64.0.0/11
TI Dezentral SIS – Konnektoren 100.104.0.0/14
Die Netzwerk-Segmente sind in der entsprechenden Maske hinzuzufügen:
VPN VPN-Zugangsdienst Netzwerk Netzwerk-Segmente ...
Schritt 18
Für einen initialen Test der Verbindung zum Clientsystem kann die TLS-Pflicht temporär deaktiviert werden:
Netzwerk Allgemein Clientsystem‑Einstellungen TLS‑Pflicht deaktivieren
Schritt 19
Starten Sie abschließend den Konnektor neu:
System Allgemein Neustart
Der Neustart dauert ca. 5 min.
Schritt 20
Deaktivieren Sie WAN:
Netzwerk WAN WAN‑Modus WAN‑Schnittstelle aktiv deaktivieren