Voraussetzungen

Für die Nutzung der ePA mit charly sind eine funktionierende Anbindung an die Telematikinfrastruktur sowie einige spezifische Komponenten und Einstellungen erforderlich. Hier erfahren Sie, welche Voraussetzungen Ihre Praxis erfüllen muss.

Komponenten

E-Health-Konnektor (ab Version PTV5)
Elektronischer Praxisausweis (SMC-B)
Mindestens ein elektronischer Heilberufsausweis (HBA)
Stationäres E-Health-Kartenterminal

charly

Die kostenpflichtige ePA-Lizenz der solutio GmbH & Co. KG ist in der Menüleiste unter Hilfe > Zusätzliche Lizenzen eingetragen und die Checkbox ePA ist aktiviert. Für weitere Informationen siehe ePA.
Eine Anbindung an die E-Health-Telematikinfrastruktur (TI) ist vorhanden und in charly eingerichtet:
- In charly-Web sind in der Perspektive Administration > TI-Monitor der Konnektor und Aufrufkontext(e) angelegt.
- In den Stammdaten > Praxis > Praxis > Zahnarzt > Reiter SMC-B (TI) ist der elektronische Praxisausweis (SMC-B) hinterlegt:
  - Gemeinschaftspraxis: Der Praxisausweis muss bei der Option „Gemeinschaftspraxis“ hinterlegt sein. Er wird automatisch für jeden Behandler in der Liste Zahnarzt verwendet.
  - Einzelpraxis/Praxisgemeinschaft: Der jeweilige Praxisausweis muss pro Zahnarzt hinterlegt werden.
Die Heilberufsausweise (HBA) der Behandler sind in charly-Web unter Administration > Signatur konfiguriert.

Server

Konfiguration der Route

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, muss charly den IDP-Service (Identity Provider) der Telematikinfrastruktur erreichen können.

Der IDP-Service bestätigt die Identität von Praxen und medizinischem Personal – und ist damit eine zentrale Voraussetzung für den Zugriff auf viele TI-Anwendungen.

Um die Verbindung herzustellen, muss auf dem charly-Server eine Route zum IDP-Service konfiguriert werden.

IDP-Service-Erreichbarkeit prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „IDP-Route“ wird angezeigt, ob die Route korrekt gesetzt ist.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt. Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – in diesem Fall prüfen Sie bitte die Konfiguration der Route auf dem charly-Server.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt.

Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – prüfen Sie in diesem Fall die Konfiguration der Route auf dem charly-Server.

Tipp: Die Route zum IDP-Service wird von mehreren TI-Fachanwendungen verwendet.

Wenn die Route bereits für eine andere TI-Anwendung eingerichtet wurde, muss sie nicht erneut konfiguriert werden.

Route konfigurieren

Windows
1. Öffnen Sie die Kommandozeile als Administrator.
2. Führen Sie folgenden Befehl aus:
  route -p add 100.102.0.0 mask 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> mit Ihren spezifischen Daten.
macOS
1. Öffnen Sie das Terminal.
2. Führen Sie folgenden Befehl mit Adminrechten aus:
  sudo networksetup -setadditionalroutes <IHR_NETZWERK_ADAPTERNAME> 100.102.0.0 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> und <IHR_NETZWERKADAPTERNAME> mit Ihren spezifischen Daten.
charly-VM

Folgen Sie der Anleitung "Telematikinfrastruktur (TI) für charly VM"
- Anleitung für Windows
- Anleitung für macOS

DNS-Voraussetzungen für TI-Fachdienste

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, müssen die Hostnamen der zugehörigen TI-Fachdienste korrekt aufgelöst werden können. Dies geschieht über den DNS-Dienst, der typischerweise durch folgende Komponenten bereitgestellt wird:

Router oder Firewall
Domain-Controller / Active Directory
lokaler DNS-Dienst auf dem Server
oder öffentliche DNS-Resolver

Hinweis: Die TI-Grundverbindung (Konnektor ↔ TI) ist davon nicht betroffen.

DNS wirkt sich ausschließlich auf die TI-Fachdienste aus, wie:

ePA
E-Rezept
IDP-Dienst der TI (Identitäts- und Authentifizierungsdienst)
weitere offene Fachdienste der TI

Wenn TI-Fachdienste nicht funktionieren, obwohl der Konnektor „verbunden“ anzeigt, liegt die Ursache häufig in der DNS-Auflösung.

Warum ist DNS für TI-Fachdienste wichtig?

Die ePA-Aktensysteme, der IDP-Dienst (Authentifizierung), der E-Rezept-Fachdienst sowie der TSL-Downloaddienst werden über öffentliche Hostnamen angesprochen.

Kann der DNS-Dienst diese Hostnamen nicht auflösen, schlagen die Fachdienste fehl, obwohl:

die Internetverbindung funktioniert
die Route korrekt gesetzt ist
der Konnektor eine erfolgreiche TI-Verbindung anzeigt

Hostnamen der Telematikinfrastruktur

Folgende Hostnamen müssen laut gematik erreichbar und auflösbar sein:

https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration
https://epa-as-1.prod.epa4all.de
https://epa-as-2.prod.epa4all.de
https://erp.zentral.erp.splitdns.ti-dienste.de
https://download.tsl.ti-dienste.de/ECC/ECC-RSA_TSL.xml

Hinweis: In der OpenID-Konfiguration können dynamisch weitere Hostnamen enthalten sein.

Die gematik weist darauf hin, dass sich Hostnamen jederzeit ändern oder erweitert werden können.

Prüfung der DNS-Auflösung

Die folgenden Schritte helfen dabei festzustellen, ob die TI-Fachdienste durch den DNS-Dienst korrekt aufgelöst werden.

1. Verwendeten DNS-Server ermitteln

Windows
```
ipconfig /all
```
macOS
```
scutil --dns
```

Der Abschnitt „DNS-Server“ oder „nameserver“ zeigt an, welcher DNS-Dienst genutzt wird (z.B. Firewall, Router, Domain-Controller).

2. Allgemeine DNS-Auflösung prüfen

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de
nslookup epa-as-2.prod.epa4all.de
                            

Wenn „Server failed“ oder „Non-existent domain“ zurückgegeben wird, kann der DNS die TI-Hostnamen nicht auflösen.

3. Falls vorhanden: Gezielte Abfrage über den lokalen DNS-Server

Tipp: Relevant, wenn z.B. Domain-Controller oder Firewall als DNS agieren.

Prüfen sie, ob der lokale DNS-Dienst die Hostnamen korrekt auflösen kann.

Ersetzen Sie <ip-adresse-des-dns-servers> durch die tatsächliche IP des DNS-Servers der Praxis:

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de <ip-adresse-des-dns-servers>
nslookup epa-as-2.prod.epa4all.de <ip-adresse-des-dns-servers>
                            

Wenn keine IP-Adresse zurückgegeben wird, kann der Hostname nicht aufgelöst werden. In diesem Fall ist eine Anpassung der DNS-Konfiguration erforderlich.

Wenn externe DNS-Forwarder nicht erlaubt sind, müssen die Hostnamen manuell im DNS-Manager hinterlegt werden.

Zusammenhang mit der Routen-Konfiguration

Die Routen zu offenen Fachdiensten, aAdG und NetG-TI können laut gematik zusammengefasst werden:

100.102.0.0/15

Eine korrekt gesetzte Route und eine funktionierende DNS-Auflösung sind beide Voraussetzungen.

Wenn DNS nicht funktioniert, können die Fachdienste nicht erreicht werden, obwohl die TI-Verbindung selbst in Ordnung ist.

Konfiguration der Systemzeit

Für den Zugriff auf Fachanwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept muss die Systemzeit des charly-Servers mit der Referenzzeit der Telematikinfrastruktur übereinstimmen.

Bereits eine Abweichung von mehr als 4,5 Minuten kann die Anmeldung verhindern.

Hintergrund: Warum ist die Systemzeit so wichtig?

Die gesamte Telematikinfrastruktur (TI) verwendet die Zeitserver der Physikalisch-Technischen Bundesanstalt (PTB) als verbindliche Zeitbasis.

Bei jedem Zugriff auf TI-Dienste erfolgt ein Abgleich zwischen:

der Systemzeit des charly-Servers
der Zeit des Identitätsproviders (IDP) der TI
den PTB-Zeitservern

Der IDP ist der zentrale TI-Dienst, der u.a. für die Anmeldung und Authentifizierung für ePA und E-Rezept zuständig ist.

Weicht die Serverzeit von der PTB-Zeit ab, ist eine Anmeldung nicht möglich.

Systemzeit in charly prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „Systemzeit“ wird angezeigt, ob die Systemzeit des Servers mit der PTB-Zeit übereinstimmt.

Eine zu große Abweichung wird als Fehler dargestellt.

Hinweis: Der Systemzeit-Check kann in den Einstellungen bei Bedarf deaktiviert werden – etwa wenn der charly-Server keine Internetverbindung hat und daher kein Abgleich mit dem IDP-Zeitserver möglich ist.

Für weitere Informationen siehe Systemzeit-Check.

Hinweis zur Zeitquelle

Die Synchronität wird anhand der offiziellen NTP-Zeitservern der Physikalisch-Technischen Bundesanstalt (PTB) überprüft:

ptbtime1.ptb.de
ptbtime2.ptb.de
ptbtime3.ptb.de
ptbtime4.ptb.de

Diese Server müssen vom charly-Server erreichbar sein.

Hinweis für Systembetreuer: Firewall-Freigaben

Damit die Zeitsynchronisation funktioniert, müssen in der Praxis-Firewall die oben genannten Hostnamen freigegeben sein.

Die Kommunikation mit den PTB-Zeitservern erfolgt über den UDP-Port 123.

Zeitsynchronisation des Servers

Achten Sie darauf, dass der charly-Server eine stabile Zeitsynchronisation über einen NTP-Dienst verwendet.

Wir empfehlen, die automatische Zeiteinstellung zu aktivieren, um Zeitabweichungen zur Referenzzeit der Telematikinfrastruktur zu vermeiden.

Zusammenhang mit dem E-Health-Gateway-Service

Wenn die Praxis einen lokalen NTP-Zeitserver verwendet (z.B. einen Domain-Controller), muss dieser zusätzlich im E-Health-Gateway-Service eingetragen werden, damit der Dienst dieselbe Zeitquelle nutzt.

Dies ist besonders wichtig, da eine fehlende oder abweichende Zeitsynchronisation die Erstellung von E-Rezepten bzw. den Zugriff auf eine ePA-Akte verhindert.

Konfiguration in der application.yml im conf2-Verzeichnis
```
de.solutio.ncjs.ehealth.infrastructure.time-sync-addresses: <IP-Adresse Zeitserver>
```
Nach der Änderung muss der E-Health-Gateway-Service neu gestartet werden.

Erreichbarkeit der PTB-Server prüfen

Windows

w32tm /stripchart /computer:ptbtime1.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime2.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime3.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime4.ptb.de /dataonly /samples:3
                                    

macOS

sntp ptbtime1.ptb.de
sntp ptbtime2.ptb.de
sntp ptbtime3.ptb.de
sntp ptbtime4.ptb.de
                                    

Wenn stabile Werte zurückgegeben werden, ist der Zeitserver erreichbar.