Voraussetzungen

Komponenten

E-Health-Konnektor (ab Version PTV3).
Elektronischer Heilberufsausweis (HBA) für jeden Behandler, der ein E-Rezept ausstellen möchte.
Elektronischer Praxisausweis (SMC-B).
Stationäres E-Health-Kartenterminal.
Drucker mit einer Mindestauflösung von 300 dpi.

charly

Die kostenpflichtige E-Rezept-Lizenz der solutio GmbH & Co. KG ist in der Menüleiste unter Hilfe > Zusätzliche Lizenzen eingetragen und die Checkbox E-Rezept aktiviert. Für weitere Informationen siehe E-Rezept.
Eine Anbindung an die E-Health-Telematikinfrastruktur (TI) ist vorhanden und in charly eingerichtet:
- In charly-Web sind in der Perspektive Administration > TI-Monitor der Konnektor und Aufrufkontext(e) angelegt.
- In den Stammdaten > Praxis > Praxis > Zahnarzt > Reiter SMC-B (TI) ist der elektronische Praxisausweis (SMC-B) hinterlegt:
  - Gemeinschaftspraxis: Der Praxisausweis muss bei der Option „Gemeinschaftspraxis“ hinterlegt sein. Er wird automatisch für jeden Behandler in der Liste Zahnarzt verwendet.
  - Einzelpraxis/Praxisgemeinschaft: Der jeweilige Praxisausweis muss pro Zahnarzt hinterlegt werden.
Die Heilberufsausweise (HBA) der Behandler sind in charly-Web unter Administration > Signatur konfiguriert.

Server

Konfiguration der Route

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, muss charly den IDP-Service (Identity Provider) der Telematikinfrastruktur erreichen können.

Der IDP-Service bestätigt die Identität von Praxen und medizinischem Personal – und ist damit eine zentrale Voraussetzung für den Zugriff auf viele TI-Anwendungen.

Um die Verbindung herzustellen, muss auf dem charly-Server eine Route zum IDP-Service konfiguriert werden.

IDP-Service-Erreichbarkeit prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „IDP-Route“ wird angezeigt, ob die Route korrekt gesetzt ist.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt. Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – in diesem Fall prüfen Sie bitte die Konfiguration der Route auf dem charly-Server.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt.

Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – prüfen Sie in diesem Fall die Konfiguration der Route auf dem charly-Server.

Tipp: Die Route zum IDP-Service wird von mehreren TI-Fachanwendungen verwendet.

Wenn die Route bereits für eine andere TI-Anwendung eingerichtet wurde, muss sie nicht erneut konfiguriert werden.

Route konfigurieren

Windows
1. Öffnen Sie die Kommandozeile als Administrator.
2. Führen Sie folgenden Befehl aus:
  route -p add 100.102.0.0 mask 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> mit Ihren spezifischen Daten.
macOS
1. Öffnen Sie das Terminal.
2. Führen Sie folgenden Befehl mit Adminrechten aus:
  sudo networksetup -setadditionalroutes <IHR_NETZWERK_ADAPTERNAME> 100.102.0.0 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> und <IHR_NETZWERKADAPTERNAME> mit Ihren spezifischen Daten.
charly-VM

Folgen Sie der Anleitung "Telematikinfrastruktur (TI) für charly VM"
- Anleitung für Windows
- Anleitung für macOS

DNS-Voraussetzungen für TI-Fachdienste

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, müssen die Hostnamen der zugehörigen TI-Fachdienste korrekt aufgelöst werden können. Dies geschieht über den DNS-Dienst, der typischerweise durch folgende Komponenten bereitgestellt wird:

Router oder Firewall
Domain-Controller / Active Directory
lokaler DNS-Dienst auf dem Server
oder öffentliche DNS-Resolver

Hinweis: Die TI-Grundverbindung (Konnektor ↔ TI) ist davon nicht betroffen.

DNS wirkt sich ausschließlich auf die TI-Fachdienste aus, wie:

ePA
E-Rezept
IDP-Dienst der TI (Identitäts- und Authentifizierungsdienst)
weitere offene Fachdienste der TI

Wenn TI-Fachdienste nicht funktionieren, obwohl der Konnektor „verbunden“ anzeigt, liegt die Ursache häufig in der DNS-Auflösung.

Warum ist DNS für TI-Fachdienste wichtig?

Die ePA-Aktensysteme, der IDP-Dienst (Authentifizierung), der E-Rezept-Fachdienst sowie der TSL-Downloaddienst werden über öffentliche Hostnamen angesprochen.

Kann der DNS-Dienst diese Hostnamen nicht auflösen, schlagen die Fachdienste fehl, obwohl:

die Internetverbindung funktioniert
die Route korrekt gesetzt ist
der Konnektor eine erfolgreiche TI-Verbindung anzeigt

Hostnamen der Telematikinfrastruktur

Folgende Hostnamen müssen laut gematik erreichbar und auflösbar sein:

https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration
https://epa-as-1.prod.epa4all.de
https://epa-as-2.prod.epa4all.de
https://erp.zentral.erp.splitdns.ti-dienste.de
https://download.tsl.ti-dienste.de/ECC/ECC-RSA_TSL.xml

Hinweis: In der OpenID-Konfiguration können dynamisch weitere Hostnamen enthalten sein.

Die gematik weist darauf hin, dass sich Hostnamen jederzeit ändern oder erweitert werden können.

Prüfung der DNS-Auflösung

Die folgenden Schritte helfen dabei festzustellen, ob die TI-Fachdienste durch den DNS-Dienst korrekt aufgelöst werden.

1. Verwendeten DNS-Server ermitteln

Windows
```
ipconfig /all
```
macOS
```
scutil --dns
```

Der Abschnitt „DNS-Server“ oder „nameserver“ zeigt an, welcher DNS-Dienst genutzt wird (z.B. Firewall, Router, Domain-Controller).

2. Allgemeine DNS-Auflösung prüfen

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de
nslookup epa-as-2.prod.epa4all.de
                            

Wenn „Server failed“ oder „Non-existent domain“ zurückgegeben wird, kann der DNS die TI-Hostnamen nicht auflösen.

3. Falls vorhanden: Gezielte Abfrage über den lokalen DNS-Server

Tipp: Relevant, wenn z.B. Domain-Controller oder Firewall als DNS agieren.

Prüfen sie, ob der lokale DNS-Dienst die Hostnamen korrekt auflösen kann.

Ersetzen Sie <ip-adresse-des-dns-servers> durch die tatsächliche IP des DNS-Servers der Praxis:

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de <ip-adresse-des-dns-servers>
nslookup epa-as-2.prod.epa4all.de <ip-adresse-des-dns-servers>
                            

Wenn keine IP-Adresse zurückgegeben wird, kann der Hostname nicht aufgelöst werden. In diesem Fall ist eine Anpassung der DNS-Konfiguration erforderlich.

Wenn externe DNS-Forwarder nicht erlaubt sind, müssen die Hostnamen manuell im DNS-Manager hinterlegt werden.

Zusammenhang mit der Routen-Konfiguration

Die Routen zu offenen Fachdiensten, aAdG und NetG-TI können laut gematik zusammengefasst werden:

100.102.0.0/15

Eine korrekt gesetzte Route und eine funktionierende DNS-Auflösung sind beide Voraussetzungen.

Wenn DNS nicht funktioniert, können die Fachdienste nicht erreicht werden, obwohl die TI-Verbindung selbst in Ordnung ist.

Konfiguration der Systemzeit

Für den Zugriff auf Fachanwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept muss die Systemzeit des charly-Servers mit der Referenzzeit der Telematikinfrastruktur übereinstimmen.

Bereits eine Abweichung von mehr als 4,5 Minuten kann die Anmeldung verhindern.

Hintergrund: Warum ist die Systemzeit so wichtig?

Die gesamte Telematikinfrastruktur (TI) verwendet die Zeitserver der Physikalisch-Technischen Bundesanstalt (PTB) als verbindliche Zeitbasis.

Bei jedem Zugriff auf TI-Dienste erfolgt ein Abgleich zwischen:

der Systemzeit des charly-Servers
der Zeit des Identitätsproviders (IDP) der TI
den PTB-Zeitservern

Der IDP ist der zentrale TI-Dienst, der u.a. für die Anmeldung und Authentifizierung für ePA und E-Rezept zuständig ist.

Weicht die Serverzeit von der PTB-Zeit ab, ist eine Anmeldung nicht möglich.

Systemzeit in charly prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „Systemzeit“ wird angezeigt, ob die Systemzeit des Servers mit der PTB-Zeit übereinstimmt.

Eine zu große Abweichung wird als Fehler dargestellt.

Hinweis: Der Systemzeit-Check kann in den Einstellungen bei Bedarf deaktiviert werden – etwa wenn der charly-Server keine Internetverbindung hat und daher kein Abgleich mit dem IDP-Zeitserver möglich ist.

Für weitere Informationen siehe Systemzeit-Check.

Hinweis zur Zeitquelle

Die Synchronität wird anhand der offiziellen NTP-Zeitservern der Physikalisch-Technischen Bundesanstalt (PTB) überprüft:

ptbtime1.ptb.de
ptbtime2.ptb.de
ptbtime3.ptb.de
ptbtime4.ptb.de

Diese Server müssen vom charly-Server erreichbar sein.

Hinweis für Systembetreuer: Firewall-Freigaben

Damit die Zeitsynchronisation funktioniert, müssen in der Praxis-Firewall die oben genannten Hostnamen freigegeben sein.

Die Kommunikation mit den PTB-Zeitservern erfolgt über den UDP-Port 123.

Zeitsynchronisation des Servers

Achten Sie darauf, dass der charly-Server eine stabile Zeitsynchronisation über einen NTP-Dienst verwendet.

Wir empfehlen, die automatische Zeiteinstellung zu aktivieren, um Zeitabweichungen zur Referenzzeit der Telematikinfrastruktur zu vermeiden.

Zusammenhang mit dem E-Health-Gateway-Service

Wenn die Praxis einen lokalen NTP-Zeitserver verwendet (z.B. einen Domain-Controller), muss dieser zusätzlich im E-Health-Gateway-Service eingetragen werden, damit der Dienst dieselbe Zeitquelle nutzt.

Dies ist besonders wichtig, da eine fehlende oder abweichende Zeitsynchronisation die Erstellung von E-Rezepten bzw. den Zugriff auf eine ePA-Akte verhindert.

Konfiguration in der application.yml im conf2-Verzeichnis
```
de.solutio.ncjs.ehealth.infrastructure.time-sync-addresses: <IP-Adresse Zeitserver>
```
Nach der Änderung muss der E-Health-Gateway-Service neu gestartet werden.

Erreichbarkeit der PTB-Server prüfen

Windows

w32tm /stripchart /computer:ptbtime1.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime2.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime3.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime4.ptb.de /dataonly /samples:3
                                    

macOS

sntp ptbtime1.ptb.de
sntp ptbtime2.ptb.de
sntp ptbtime3.ptb.de
sntp ptbtime4.ptb.de
                                    

Wenn stabile Werte zurückgegeben werden, ist der Zeitserver erreichbar.