Webbox mit SSL Zertifikat

  • Hallo Zusamen,

    ich würde unsere Webbox gerne mit einem Zertifikat einer Zertifizierungsstelle ausrüsten. Das selbstsignierte Zertifikat wird ja als .PEM ausgegeben. Von der Zertifizierungsstelle erhalte ich ein Zertifikat mit *.crt. Dieses Zertifikat nach Umbenennen nimmt David nicht an. Auch nicht, wenn ich mir die .PEM Datei selbst zusammenfüge aus BEGIN KEY und BEGIN CERT.

    Hat jemand die Webbox mit offiziellem Zertifikat am laufen und kann mir hier einen Tipp geben, wie ich das einbinden kann?

  • Haben wir so im Einsatz, allerdings muss man die PEM DAtei selber basteln und die Keys wie folgt reinkopieren:


    -----BEGIN CERTIFICATE-----
    Eigenes Zertifikat
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    eigener Privater Schlüssel
    -----END RSA PRIVATE KEY-----
    -----BEGIN CERTIFICATE-----
    Intermediate Zertifikat
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    Root Zertifikat
    -----END CERTIFICATE-----

  • Hab das nach deinem Schema so zusammen gesetzt und erhalte nach einem Neustart der Webbox: "error loading certificate tls not available". Setze ich wieder das selbstsignierte Zertifikat ein, funktioniert es wieder.

  • Habe über den Editor die Zertifikate geöffnet und quasi "zusammenkopiert". Wie erfolgt die Installation über den Administrator bzw. müssen ja die unterschiedlichen Zertifikatsinhalte in die WEBBOX.PEM kopiert werden, oder?

  • Im Prinzip ist das schon so, wie es Winkler oben beschrieben hat: Du erstellst mit TLSCERT.EXE ein CRT-Request. Aus der PEM-Datei des CRT-Request schneidest Du mit einem Editor den Abschnitt "-----BEGIN CERTIFICATE REQUEST----- ....... ----- END CERTIFICATE REQUEST----- raus und beantragst damit Dein Zertifikat bei einem Aussteller Deiner Wahl. Den Part mit dem PRIVATE KEY brauchst Du dafür nicht.

    Wenn Du Dein Zertifikat hast, dann kopierst Du Dir mit einem Editor den Part "-----BEGIN CERTIFICATE----- ....... -----END CERTIFICATE -----" raus und setzt es in Dein ursprüngliches Certificate Request nach dem Part mit dem PRIVATE KEY ein. Den CERTIFICATE REQUEST-Teil löscht Du.

    Das so gebastelte Zertifikat speicherst Du als "WBCERT.PEM" (nicht "WEBBOX.PEM" !) im Verzeichnis \DAVID\APPS\WEBBOX\CODE ab und startest die Webbox anschliessend neu. Wenn es vorher mit Deinem selbstsignierten Zertifikat funktioniert hat, dann sollte das auch sofort funktionieren. Dieses Zertifikat gilt dann für die Webbox, EAS und postlagernden Versand.

    Es ist meiner Erfahrung nach nicht notwendig, das Root- und das Intermediate-Zertifikat da auch mit abzuspeichern. Wenn das Zertifikat z.B. von Commodo kommt, reicht die o.a. Vorgehensweise völlig aus. Wenn Du allerdings einen "exotischen" Herausgeber hast, kann es nicht schaden diese Infos zusätzlich mit rein zu packen.

  • Es gibt auch noch irgendwo den Schalter "Zertifizierungspfad übertragen" oder so ähnlich. (Habe gerade keinen PC in Reichweite)
    Das hat bei mir geholfen, als die Webbox das Zwischenzertifikat nicht mit übertragen hat.

    Jörg.

  • Vielen Dank für die Hilfe. Hat geklappt.

    Ich habe den Cert Request erstellt. Bei mir ging das Fenster mit Speichern 2x auf. Dachte das sei ein Bug aber es werden 2 .pem-Dateien angelegt mit private key und cert request. Hab den Request eingereicht und ein Zertifikat erstellt. Das Zertifikat mit dem Editor geöffnet und zum private key (wbcert.pem) hinzugefügt, webbox neu gestartet und hat geklappt.

    Gibt es im Hinblick auf SSL noch etwas zu beachten? Unter den Webbox Einstellungen SSL erzwingen aktivieren o. ä.?

  • Ja man kann über die davidtls.ini die Einstellungen im Hinblick auf Verschlüsselung anpassen.

    Die Datei findet man in der Regel im Windows\Syswow64. bzw dort wo auch die davidtls.dll liegt.

    Anbei mal ein Beispiel für den Aufbau:

    [Settings]
    CipherSuite=HIGH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
    SSLv3=no
    TLS10=no
    TLS11=yes
    TLS12=yes
    ServerCipherOrder=no

    Erklärung CiperSuite = Chiffren Sammlung, hier wird definiert welche benutzt werden oder mit "!" eben nicht verwendet
    werden dürfen. Weiter geht es mit den Protokollen, SSLv3 und TLS1.0 diese sollten aus Sicherheitsgründen deaktiviert
    werden, nur alte Betriebssystem wie z.b IE unter XP, Windows Mobile bis 8 und Android glaube 4.2 und drunter benötigen SSLv3.
    Wenn man also aktuelle Versionen einsetzt reicht TLS1.2 außer für Outlook 2013 über EAS.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!