HÄVG-Prüfmodul Legacy Hilfestellung

WICHTIG

Bitte beachten Sie, dass sich diese Hilfethemen auf das HPM Legacy beziehen. Die Anleitung und Hilfestellung des modernisierten HPM finden Sie in der HÄVG-Prüfmodul Anleitung bzw. der HÄVG-Prüfmodul Hilfestellung.

Wenn Sie trotz der unten stehenden Informationen nicht weiterkommen, können Sie uns gerne eine E-Mail an haevgpruefmodul@haevg-rz.de senden.

Grundsätzliches

Das HÄVG-Prüfmodul muss auf einem Rechner mit Zugriff auf https://ssl.abrechnungsrouter.haevg-rz.de und einem funktionierenden HZV Online Key installiert werden. Wird ein Konnektor verwendet, ist der Zugriff auf https://abrechnung.haevg-rz.de notwendig.

Bei der Teilnahme an der eAV (ehemals ITV) muss ein funktionierender HZV Online Key vorhanden und der Zugriff auf https://itv.haevg-rz.de möglich sein.

Das installierte HÄVG-Prüfmodul darf nicht über das öffentliche Internet erreichbar sein!

Weitere Informationen entnehmen Sie bitte der Dokumentation: Jedem HÄVG-Prüfmodul liegt ein Entwicklerhandbuch, eine Kurzanleitung und eine Schnittstellendokumentation bei.

Systemvoraussetzungen

Die aktuellen Systemvoraussetzungen umfassen:

Microsoft Windows: Microsoft Windows 8.1 oder höher Microsoft Windows Server 2012 mit SP1 oder höher

Microsoft Windows Server 2008 R2 und Microsoft Windows 7 werden seit Januar 2020 nicht mehr unterstützt.

Linux: Debian 9 Ubuntu 16.04, Ubuntu 18.04

Apple macOS: macOS 10.13 bis 10.15

Anpassungen am HÄVG-Prüfmodul Legacy ab 2021-Q2

Ab 2021-Q2 haben wir architektonische Anpassungen am Produkt vorgenommen, um die Sicherheit, Stabilität und die Performance zu verbessern.

Für den Betrieb ergeben sich ganz offensichtliche Änderungen, so werden z.B. zwei Prozesse gestartet.

Hier wird unterschieden zwischen dem HÄVG-Prüfmodul (Prozess: HaevgRZ.Hpm.Starter.exe) und dem HÄVG-Prüfmodul Kern (Prozess: hpm.exe), dies ist eine neue Komponente zur sicheren Kommunikation.

Der Datenfluss wird vom HÄVG-Prüfmodul durch den HÄVG-Prüfmodul Kern geführt und dann sicher ins Internet weitergeleitet.

Dieses Verhalten kann in der InstallConfig.xml des HÄVG-Prüfmoduls mit den folgenden Schaltern gesteuert werden:

1. Die Verwendung des Kern erlauben true (Default: true)
2. Die Wahl der Ports vom Kern 22230 (Default: 22230) Das neue HÄVG-Prüfmodul Analyse-Tool wurde dahingehend angepasst, hier wird auch nach dem HÄVG-Prüfmodul Kern Prozess geprüft wird.

Logging

Der Speicherort der Logdateien ist abhängig vom Betriebssystem. Der Dateiname lautet HPM.log (früher Hpm.Log.xml).

Ab HPM 2021 Q2 gibt es parallel noch die Datei hpm_kern.log.

Windows

C:\ProgramData\HÄVG Rechenzentrum AG\HÄVG-Prüfmodul\HPM.log

Linux

/usr/share/HÄVG_Rechenzentrum_AG/HÄVG-Prüfmodul/

macOS*

/usr/local/share/HÄVG_Rechenzentrum_AG/HÄVG-Prüfmodul/

Beispiel anhand von Windows

Mit Powershell kann man den Inhalt der Log-Dateien wie folgt betrachten:

Get-Content "C:\ProgramData\HÄVG Rechenzentrum AG\HÄVG-Prüfmodul\*.log" -Tail 0 -Wait -Encoding UTF8

Über die Infoseite des HÄVG-Prüfmoduls können die Log-Dateien als Zip-Archiv gespeichert werden.

Ticket erstellen

Wenn Sie ein Ticket an haevgpruefmodul@haevg-rz.de senden, stellen Sie uns bitte folgende Informationen zur Verfügung:

1. HÄVG-Prüfmodul: Version
2. Betriebssystem: Name und Version (z.B. Windows 10 Enterprise 1809)
3. Verbindungsart: HZV Online Key oder Konnektor
4. HZV Online Key: BSNR, Seriennummer und zeitliche Gültigkeit
5. Bei Verbindungsproblemen die öffentliche IP-Adresse
6. (Gezippte) Log-Dateien
7. Schritte, um das Problem zu reproduzieren
8. Ergebnisse der durchgeführten Analysen

Firewall-Einstellungen

Wichtige Einstellungen für den Praxis-Betrieb:

Ausgehender Datenverkehr HPM

HZV Online Key

• Host: ssl.abrechnungsrouter.haevg-rz.de und itv.haevg-rz.de
• Port: 443
• Protokoll: HTTPS

Wenn vorhanden wird hier der Proxy des Hosts verwendet, ein Umschlüsselung von TLS wird jedoch nicht unterstützt.

Konnektor HPM Legacy

• Host: abrechnung.haevg-rz.de
• Port: 443
• Protokoll: HTTPS

Konnektivität über TCP Connect prüfen

Die Erreichbarkeit des Endpunktes lässt sich wie folgt auf den verschiedenen Plattformen testen.

Windows

PowerShell-Beispiel:

Test-NetConnection -ComputerName ssl.abrechnungsrouter.haevg-rz.de -Port 443

Erwartet: “TcpTestSucceeded : True”

Frühere Powershell-Versionen kennen das Cmdlet Test-NetConnection nicht, hier muss Telnet verwendet werden.

Linux

nc -v -z ssl.abrechnungsrouter.haevg-rz.de 443

Erwartet: Connection to ssl.abrechnungsrouter.haevg-rz.de port 443 [tcp/https] succeeded!

macOS

nc -v -z ssl.abrechnungsrouter.haevg-rz.de 443

Erwartet: Connection to ssl.abrechnungsrouter.haevg-rz.de port 443 [tcp/https] succeeded!

Sollten Sie den Endpunkt mit dem Browser testen wollen, wird diese Verbindung mit dem Fehler ERR_BAD_SSL_CLIENT_AUTH_CERT abgebrochen.

Telemetrie

Um relevante Fehler- und Analysedaten an das HÄVG Rechenzentrum zu übertragen, versendet das HPM Telemetriedaten. Dies erleichtert und beschleunigt die Fehlerfindung und -behebung. Um die korrekte Übertragung sicherzustellen, müssen die Adressen

• “https://westeurope-5.in.applicationinsights.azure.com”
• “https://westeurope.livediagnostics.monitor.azure.com”

mit dem HPM erreichbar sein. In den meisten Fällen besteht standardmäßig kein Handlungsbedarf.

Eingehender Datenverkehr

Das HÄVG-Prüfmodul öffnet für die Kommunikation innerhalb der Praxis den Port 22220. Die Entwickler- und Schnittstellendokumentation können Hersteller im Downloadbereich herunterladen.

• Port: 22220 (oder abweichend, siehe Config.xml)
• Protokoll: HTTP

Power-Shell Beispiel:

Test-NetConnection -ComputerName 127.0.0.1 -Port 22220

Erwartet: “TcpTestSucceeded : True”

Falscherkennung als Virus/Malware/etc.

Unsere Installer für Windows sind signiert, d.h. unter dem Reiter “Digitale Signaturen” kann überprüft werden, ob diese Datei vom HÄVG Rechenzentrum signiert worden ist. Ab HPM 2020 Q2 werden hier stärkere Signaturalgorithmen verwendet.

Ist eine digitale Signatur des HÄVG Rechenzentrums vorhanden, handelt es sich definitiv nicht um schadhafte Software.

Des Weiteren werden zu jeder Datei zusätzlich die Prüfsummen in SHA-256 veröffentlicht.

Besonderheit macOS-Installation

Bei der Installation auf macOS Systemen muss das HÄVG-Prüfmodul zusätzliche Rechte erhalten um auf USB Speichergeräte zugreifen zu können. Siehe dazu das Entwicklerhandbuch auf Seite 5 “Erweiterte Berechtigungen der Mono Laufzeitumgebung.”

Hilfestellung für Experten

HTTP.sys Einstellungen

Reservierte URL            : http://+:22220/
    Benutzer: \Jeder
        Abhören: Yes
        Delegieren: No
        SDDL: D:(A;;GX;;;WD)

Reservierte URL            : http://localhost:22220/
    Benutzer: \Jeder
        Abhören: Yes
        Delegieren: No
        SDDL: D:(A;;GX;;;WD)

Erstellen einer umfangreichen Log-Datei

Für eine tiefgehende Analyse benötigen wir eine Übersicht aller Zugriffe des HÄVG-Prüfmoduls und dessen Installer auf die verschiedenen Ressourcen des Computers.

Mit dem Tool “Process Monitor” (Procmon.exe) von SysInternals (Microsoft) können diese einfach erfasst werden.

Da das Tool mit Administrator-Rechten ausgeführt werden muss, sollte man vor dem Starten immer die digitalen Signaturen der Installer prüfen.

Beim Starten des Tools wird man aufgefordert, Filter einzurichten. Hier bitte die folgenden Filter eingeben:

“Process Name contains HaevgRZ” (Filter fürs HÄVG-Prüfmodul) “Process Name contains hpm” (Filter für den HÄVG-Prüfmodul Kern) “Process Name contains Haevg_Pruefmodul” (Filter für den Installer)

Das Ausführen ist sehr ressourcenintensiv. Mit Ctrl + E kann die Aufzeichnung pausiert werden.

Wenn die Aufzeichnung abgeschlossen ist, muss das Ergebnis als PML-Datei gespeichert werden. Es empfiehlt sich, diese Datei zu komprimieren.

Umgebungsvariablen HPM Legacy

Durch das Setzen von Umgebungsvariablen kann ab HPM 2020 Q2 das Verhalten vom HPM angepasst werden. Dazu die entsprechende Umgebungsvariabel im Betriebssystem setzen oder eine .env Datei neben die hpm.exe, hpm.app oder hpm. bin legen.

# Mit dieser .env Datei kann das Verhalten vom HPM gesteuert werden. 
# Der Funktionsumfang wird stetig weiterentwickelt und auf https://www.haevg-rz.de/haevg-pruefmodul-hilfestellung/ dokumentiert.

# OptIn für Telemetry (Nur für Test-Instanzen verwenden!)
# HPM_TelemetryAccept = true 

# Proxy Adresse 
# HPM_Proxy = http://localhost:8888

HÄVG-Prüfmodul Analyse-Tool

Wir stellen Ihnen eine Spezialsoftware zur Verfügung, mit der Sie grundlegende Analysen durchführen können.

Das HPM Analyse-Tool ist aktuell kompiliert für Windows 64 / 32 Bit, Linux 64 / 32 Bit sowie MacOS 64 Bit und ARM 64 Bit ab der Version 10.12.

Es erfolgt keinerlei Datenerfassung, deshalb sind wir auf einen Screenshot der Ausgabe angewiesen.

Die Dokumentation liegt im Zip-Archiv bereit.

HÄVG-Prüfmodul Analyse-Tool Zip-Archiv: HpmAnalyseTool.zip (Beinhaltet das Tool für Windows, Linux und macOS) Signatur: HpmAnalyseTool.zip.minisig

Die Dateiintegrität ist mit einer Ed25519 Signatur gewährleistet, zum Überprüfen der Signatur nutzen Sie das Tool minisign. Zusätzlich sind die Windows-Dateien mit dem Code-Signing Zertifikat 2f6d7a05c6a3cf7682f5b230f13cd71f9eebed4f signiert.

minisign.exe -V -m HpmAnalyseTool.zip -P RWTKQPJTILubVJRZkRf50ToJxQfcTlPnW40t+iJN2ceh9G10lW0wPBES

Erwartete Ausgabe: “Signature and comment signature verified”

HÄVG RZ Public Ed25519 Schlüssel: RWTKQPJTILubVJRZkRf50ToJxQfcTlPnW40t+iJN2ceh9G10lW0wPBES

Anregungen

Wenn Sie Anregungen zu dieser Seite haben, wenden Sie sich bitte an haevgpruefmodul@haevg-rz.de.