vHOK | HÄVG Rechenzentrum - Öffentliche Dokumentationen

Was ist ein vHOK und wofür wird er eingesetzt?

vHOK steht für „Virtueller HZV Online Key“. Der vHOK ist die Weiterentwicklung des hardwaregebundenen HZV Online Keys (HOK). Mit einem gültigen vHOK können Praxen/Partner auf die Onlinedienste der HZV/FAV zugreifen.

Im Kern eines vHOKs liegt ein kryptographisches Zertifikat, das vom HÄVG-Prüfmodul (HPM) genutzt wird, um eine sichere Verbindung mit HZV- oder Partnerservern aufzubauen.

Wie sieht der Übergang von HOK auf vHOK aus?

Zum Rollout werden HZV/FAV-Bestandskunden, die einen oder mehrere HOKs einsetzen, mit vHOKs im Rahmen der Regel-Nachversorgung beliefert. Erst später, voraussichtlich Ende 2025, werden vHOKs für Neukunden ausgeliefert.

Ab Q4/2024 Pilotierung mit einzelnen Praxen

Die Pilotierung der automatisierten vHOK-Prozesse läuft von Dezember 2024 bis März 2025.

Ab Q2/2025 Rollout für Bestandskunden

Mit dem Rollout werden ablaufende HOKs bei Bestandskunden automatisch vom HPM durch vHOKs ausgetauscht. Dazu ist kein Eingriff aus Kundensicht notwendig. Dies geschieht jeweils ca. 60 Tage vor Ablauf der Gültigkeit des HOKs.

Firewall-Einstellungen für ausgehenden Datenverkehr

Bitte beachten Sie die erforderlichen Einstellungen für den ausgehenden Datenverkehr. Details dazu finden Sie hier.

Welche Unterschiede gibt es zwischen HOK und vHOK?

Eigenschaft	HOK	vHOK
Maschinenbindung	Nicht an HPM-Installation gebunden. Der HOK hat keine Bindung an eine HPM-Installation, ist somit übertragbar. Er wird auf USB-Stick ausgeliefert.	An HPM-Installation gebunden. Der vHOK wird für genau eine HPM-Installation ausgeliefert und ist nur in dieser Installation nutzbar. Er wird hardwarelos ausgeliefert.
Ausgestellt für	Name und BSNR	Name und BSNR und VPID (VertragspartnerID)
Antrag zur Ausstellung: Neukunden oder bei Supportfällen	HOK werden bei Vertragsabschluss oder über direkten Kontakt zum Kundenservice (E-Mail: vpn-zertifikat@haevg-rz.de) ausgestellt. VSW-Hersteller wenden sich an support@haevg-rz.de	vHOK werden voraussichtlich ab Ende 2025 für Neukunden ausgestellt.
Nachversorgung bei ablaufendem Zertifikat: Bestandskunden	Die Nachversorgung geschieht ohne Antragstellung durch die Herstellung der HOK und den Postversand zur Zieladresse. Der Kunde/Partner muss physikalischen Zugriff auf die Server haben und einen alten HOK gegen den neu empfangenen HOK austauschen.	Die Nachversorgung wird ab Q2-2025 automatisiert ablaufen. Ein HPM fragt bei ablaufendem Zertifikat online nach einem neuen vHOK. Die Serverseite stellt nach einer Validierung einen neuen vHOK für den Installationsort her, sendet ihn direkt ans HPM, worauf der vHOK automatisch aktiviert wird.
HPM-Infoseite: Anzeige	Die Anzeige erfolgt auf der HPM-Infoseite unter HOKs.	Die Anzeige erfolgt auf der HPM-Infoseite unter vHOKs.
HPM-Infoseite: Prüfung, ob Online-Verbindung möglich ist.	Per Button kann die HOK-Funktionstüchtigkeit geprüft werden.	Per Button kann die vHOK-Funktionstüchtigkeit geprüft werden.
HPM-Infoseite: Aktivieren/Deaktivieren	HOK können über Ein-/ Ausstecken vom USB Port aktiviert oder deaktiviert werden.	vHOK können auf der HPM-Infoseite aktiviert oder deaktiviert werden.
Stabilität / Fehlerrate	Anfällig für Störungen durch Postversand, USB-Anschlüsse und das physikalische Medium.	Bisher zeigen die eingesetzten vHOK eine deutliche Robustheit und Fehlerfreiheit.

Wie ist der Ablauf gestaltet und welche Szenarien treten auf?

Zeitfenster

Ab 60 Tagen vor Gültigkeitsende kann ein Zertifikat (HOK oder vHOK) durch ein neues Zertifikat in vHOK-Form ersetzt werden.

Auslöser

Einmalig mit jedem HPM-Neustart und einmal jede Nacht wird die Zertifikatsverlängerung gestartet. Das HPM muss für die nächtliche Verlängerung durchgehend ausgeführt werden (laufender Prozess zwischen 3 Uhr und 6 Uhr).

Ablauf

Das HPM prüft, ob ein oder mehrere Zertifikate (HOK oder vHOK) vorhanden und die Bedingungen zur Verlängerungsanfrage erfüllt sind.
Wenn ja, sendet das HPM eine Verlängerungsanfrage an das vHOK-Backend.
Das vHOK-Backend prüft, ob die Bedingungen zur Ausstellung erfüllt sind.
Wenn ja, gibt das vHOK-Backend dem HPM einen oder mehrere vHOK zurück.
Das HPM installiert die empfangenen vHOKs und gibt dem vHOK-Backend eine Meldung über die Inbetriebnahme.
Das HPM protokolliert die Schritte im HPM-Logfile und zeigt alle Zertifikate auf der HPM-Infoseite an.
Unabhängig davon, ob eine Zertifikatsverlängerung angefragt und ob ein neuer vHOK installiert wurde, läuft das HPM weiter. Fehler- und Erfolgsfälle werden im HPM-Logfile protokolliert.

Bedingungen zur Verlängerungsanfrage vom HPM

Das HPM läuft als produktiv installiertes HPM (Kunden/Partner).
Das HPM kann auf die vHOK-Endpunkte zugreifen (Firewall-Freischaltung).
Das Zertifikat muss in den nächsten 60 Tagen das Gültigkeitsende erreichen.
Das Zertifikat ist das jüngst ausgestellte Zertifikat für den Vertragsteilnehmer.
- Ältere Zertifikate für den gleichen Vertragspartner werden nicht verlängert.
Das Zertifikat ist aktiv und vom HPM auslesbar:
- Auf der HPM-Infoseite ist der Status eines jeden vHOK einsehbar.
  Ein vHOK-Zertifikat kann per Button manuell auf aktiv oder auf inaktiv gesetzt werden.
  Ein HOK-Zertifikat ist nur aktiv, wenn es innerhalb seiner Gültigkeitsgrenzen liegt. Der Status lässt sich manuell nicht ändern.
- Vom HPM auslesbar bedeutet, dass das HPM vollen Zugriff auf das Zertifikat hat und es fehlerfrei ausgelesen werden kann.

Bedingungen zur Ausstellung am vHOK-Backend

Die Verlängerungsanfrage ist technisch vollständig
Das zu verlängernde Zertifikat muss in den nächsten 60 Tagen sein Gültigkeitsende erreichen.
Der Vertragspartner/Kunde, für den die “Verlängerungsanfrage” gestellt wird,
- ist ein aktiver Vertragsteilnehmer (mind. 1 aktiver HZV/FAV-Vertrag) oder
- er war bis vor 1 Quartal ein aktiver Vertragsteilnehmer
Das zu verlängernde Zertifikat stammt aus vertrauenswürdiger Quelle

Szenarien bei der vHOK Nachversorgung

Annahme: Die oben genannten Bedingungen sind erfüllt

Generell gilt: Jeder Vertragspartner kann einen oder mehrere HOK/vHOK erhalten und nutzen. HOK und vHOK können in Kombination verwendet werden. HOK und vHOK sind über HPM-Quartalsversionen hinweg nutzbar.

Fall 1 – 1 Vertragspartner 1 HPM

Ein vorhandener HOK für ein Vertragspartner an einem HPM für

Bei der Verlängerung eines HOKs werden für jeden Vertragspartner vHOK ausgestellt. Hier wird aus 1 HOK -> 1 vHOK. Der vHOK ist im HPM aktiv.

Fall 2 – 1 Vertragspartner 2 HPM

Zwei vorhandene HOK für einen Vertragspartner an zwei HPM-Installationen (wechselhaft verwendet, Laptop / Praxis)

Jedes HPM prüft seine Umgebung/Zertifikate.

Das Praxis-HPM mit dem HOK -> erhält 1 vHOK

Das Laptop-HPM mit dem HOK -> erhält 1 vHOK

Somit sind zwei vHOK (jeweils 1 pro HPM) parallel aktiv.

Achtung: Das HPM prüft jede Nacht 1x automatisch die Verlängerung und bei jedem HPM-Neustart. Wenn der PC/Laptop lange Zeit offline wäre und der zu verlängernde HOK außerhalb seiner Gültigkeit läge, erfolgte keine automatische vHOK-Verlängerung. Der Vertragspartner müsste dann einen neuen HOK bei der HÄVG anfragen.

Fall 3 – 2 Vertragspartner 1 HPM

Ein vorhandener HOK für 2 Vertragspartner an einem HPM für (1x HBSNR)

Bei der Verlängerung eines HOKs werden für jeden Vertragspartner vHOK ausgestellt. Hier werden aus 1 HOK -> 2 vHOK.

Beide vHOK sind im HPM parallel aktiv.

Fall 4 – 2 Vertragspartner 2 HPM

Zwei vorhandene HOKs für 2 Vertragspartner an 2 HPMs (1x HBSNR, 1x NBSNR)

Jedes HPM prüft seine Umgebung/Zertifikate.

Das HPM mit dem HOK der HBSNR -> erhält 2 vHOK

Das HPM mit dem HOK der NBSNR -> erhält 2 vHOK

Alle 4 vHOK (jeweils 2 pro HPM) sind parallel aktiv.

Fall 5 - Praxisserver-Neuinstallation

a) Praxis nutzt HOK

Ein HOK ist an verschiedenen HPMs nutzbar. Er kann bei Praxisserver-Neuinstallation weiterverwendet werden.

b) Praxis nutzt vHOK

Ein vHOK ist an eine HPM-Installation (Maschine) gebunden. Er kann nicht bei einer Praxisserver-Neuinstallation weiterverwendet werden. Der Vertragspartner wird einen neuen HOK/vHOK bei der HÄVG anfragen müssen.

Fall 6 - Störungen im HPM oder Beantragung neuer Zertifikate

a) Störungen im HPM / mit Zertifikaten

Bitte geben Sie möglichst hinreichende Fehler-Informationen, siehe ticket-erstellen, und verwenden sie die E-Mail haevgpruefmodul@haevg-rz.de

b) Beantragung neuer Zertifikate

Bitte geben Sie relevante Kontaktinformationen zum Vertragspartner und zur Betriebsstätte an und verwenden sie die Email vpn-zertifikat@haevg-rz.de

Was ist ein vHOK und wofür wird er eingesetzt?#

Wie sieht der Übergang von HOK auf vHOK aus?#

Ab Q4/2024 Pilotierung mit einzelnen Praxen#

Ab Q2/2025 Rollout für Bestandskunden#

Firewall-Einstellungen für ausgehenden Datenverkehr#

Welche Unterschiede gibt es zwischen HOK und vHOK?#

Wie ist der Ablauf gestaltet und welche Szenarien treten auf?#

Zeitfenster#

Auslöser#

Ablauf#

Bedingungen zur Verlängerungsanfrage vom HPM#

Bedingungen zur Ausstellung am vHOK-Backend#

Szenarien bei der vHOK Nachversorgung#

Fall 1 – 1 Vertragspartner 1 HPM#

Fall 2 – 1 Vertragspartner 2 HPM#

Fall 3 – 2 Vertragspartner 1 HPM#

Fall 4 – 2 Vertragspartner 2 HPM#

Fall 5 - Praxisserver-Neuinstallation#

Fall 6 - Störungen im HPM oder Beantragung neuer Zertifikate#

a) Störungen im HPM / mit Zertifikaten#

b) Beantragung neuer Zertifikate#