Navigation ein-/ausblenden
Startseite  »  Telematikinfrastruktur  »  TI Allgemeines

Umstellung auf ECC-Software-Zertifikate (Konnektor vor Ort / secunet EBK)

Die gematik empfiehlt, die mit der gSMC-K mitgelieferten Zertifikate (Typ ECC-256 (Brainpool) oder RSA-2048) Ihres ECC-fähigen Secunet Einboxkonnektors (EBK) gegen Software-Zertifikate auszutauschen, die auf den aktuell empfohlenen ECC-NIST Kurven basieren. In diesem Artikel beschreiben wir, wie Sie entsprechende Client- und Software-Server-Zertifikate im Secunet Einboxkonnektor generieren. 


Melden Sie sich in der Secunet Managementoberfläche an. 
Unter Praxis > Clientsysteme sehen Sie die von Ihnen angelegten Clientsysteme (Punkt 3 in der nachfolgenden Ansicht).



Ein Klick auf das vorhandene Clientsystem zeigt Ihnen eine Liste von Zertifikaten, die in der Vergangenheit erstellt wurden. Löschen Sie gerne alle Zertifikate, die Sie nicht mehr nutzen. 
Oberhalb der Liste von Zertifikaten, können Sie über die Option Zertifikat erstellen... ein neues Client-Zertifikat erstellen. Ein Klick öffnet die folgende Ansicht: 




Bitte vergeben Sie ein Passwort, das später beim Hochladen in EPIKUR eingegeben werden muss. Wählen Sie, wie in der Ansicht zu sehen, den Public-Key-Algorithmus RSA und ECC (wenn möglich) und die Kurve NIST P-256.  
Unter dem Reiter Praxis > Clientsysteme können Sie auch die Konnektor-Zertifikate einsehen (Punkt 3 in der nachfolgenden Ansicht). Dieses sind die Zertifikate der fest installierten gSMC-K, mit den veralteten Algorithmen ECC-256 (Brainpool) und RSA-2048. 




Laut Empfehlung der gematik sollen diese gegen die neueren Algorithmen ECC-256 (NIST) und RSA-3072 ausgetauscht werden. Im Secunet EBK kann dies durch das Aktivieren der Software-Server-Zertifikate erreicht werden. 
Öffnen Sie dafür Netzwerk > Allgemein > Clientsystem-Einstellungen... (Punkt 3 in der nachfolgenden Ansicht).




Scrollen Sie etwas nach unten bis Sie Software-Server-Zertifikat sehen. Rechts daneben sehen Sie einen Schalter (Toggle), mit dem Sie diese Funktion aktivieren können. 




Im Anschluss erhalten Sie ein Fenster, in dem Sie Zertifikat erstellen... auswählen. Wie auch beim Client-Zertifikat wählen Sie Public-Key-Algorithmus RSA und ECC (wenn möglich) und die Kurve NIST P-256.  Zusätzlich geben Sie unter Alternative Hostnamen Ihre IP-Adresse an. 


Damit die neu erstellten Zertifikate zur Authentisierung genutzt werden, müssen Sie noch eine letzte Einstellung vornehmen. Unter Netzwerk > Allgemein > Erweiterte TLS-Einstellungen... (Punkt 4 in der vorherigen Ansicht) aktivieren Sie die Einstellung ECC-Zertifikat zur Authentisierung gegenüber Clientsystemen nutzen mit dem Schalter (Toggle) auf der rechten Seite. 


Nach den Änderungen in der Konnektor-Managementoberfläche wird der Konnektor anzeigen, dass die Änderungen erst nach einem Neustart aktiviert werden. Der Konnektor sollte also zu diesem Zeitpunkt neu gestartet werden. 


25.03.2026 DD/LB


Möchten Sie diesen Artikel mit anderen teilen?
https://faq.epikur.de/q/?ECC-Software-Zertifikate

Zugehörige Artikel
 TI-Status / -Störungen  Virenprüfung in der ePA mit ClamAV  Was ist der Unterschied zwischen den TI-Tarifen Epikur Telematik PRO und Epikur Telematik PLUS?  TI-Messenger (TIM)  Elektronische Patientenakte (ePA 3.0)  RSA- und ECC-Verschlüsselung bei Konnektor- und Client-Zertifikaten in EPIKUR  ePA 3.0: Anbindung und Verwendung in EPIKUR  Elektronische Ersatzbescheinigung (eEB)  E-Rezept (eRP)  Elektronische Arbeitsunfähigkeitsbescheinigung (eAU)  Erhalte ich eine Versandbenachrichtigung und Sendungsverfolgung für TI-Geräte?  Warum haben gSMC-KT, SMC-B, eHBA und Konnektorzertifikat unterschiedliche Ablaufdaten?  KIM - Eine statische Route hinterlegen
Ihnen fehlt ein FAQ-Artikel? Melden Sie sich unter kundenbetreuung@epikur.de und nennen Sie uns Ihr Thema. Wir kommen gerne auf Sie zu!

© 2026 Epikur Software GmbH & Co. KG
Impressum - Datenschutzerklärung