Webbox mit COMODO SSL Zertifikat bringt Error loading certificate

  • Hallo Gemeinde,

    nach dem ich hier im Forum nun die relevanten Beiträge durch habe und auch an anderer Stelle recherchiert und auch verschiedenes ausprobiert habe, weiß ich grad nicht weiter...

    Folgender Sachverhalt:
    Tobit David mit Webbox - Rollout-260 - Betriebssystem Windows 10 Pro x64
    Webbox mit TLS aktiviert
    Webbox von außen per Port 443 erreichbar
    Domain david.kundendomain.de verweist auf die WAN IP des Internetzugangs des Kunden
    für diese Domain habe ich ein SSL Zertifikat erstellen lassen

    Mit einem durch TLSCert.exe selbst signierten Zertifikat (2048bit, 1095 Tage) funktioniert der Zugriff auf die Webbox vom iPhone IOS 10.2.1 und auch vom Browser. Allerdings erscheint beim Einrichten des Exchange ActiveSync eMail Kontos halt diese lästige Fehlermeldung, das dem Zertifikat nicht vertraut wird und dieses muss ich erst bestätigen. Der Zugriff mit dem Browser auf die Webbox bringt ebenso die Meldung, das das Zertifikat nicht sicher ist .... Ist ja auch klar, weil selbstsigniert. Mit den entsprechenden Bestätigungen komme ich dann aber weiter.

    Mit einem "echten" Zertifikat bekomme ich aber den Fehler "Error Load Certificate..." :
    Ich habe mir ein COMODO Positiv SSL Domain validiertes Zertifikat bei SSLPoint.com bestellt und habe entsprechend das Zertifikat als *.CRT erhalten. Den Certifacte Request (als *.PEM Datei) habe ich vorher wie in einem anderen Beitrag hier (Beitrag Webbox mit SSL) beschrieben mit dem TLSCert.exe Programm erstellt. Später habe ich aus dem *.CRT File den Teil -----BEGINN CERTIFICATE----- ... -----END CERTIFCATE ----- in die vorher erstellte .PEM Datei vor den Teil des PRIVATE KEY kopiert und den CERTIFACTE REQUEST gelöscht. Die Zwischenzertifikate habe ich NICHT hineinkopiert, weil die meines Wissens nicht notwendig sind, aber im Laufe meiner Fehlersuche habe ich auch dieses getestet. Diese Datei habe ich als wbcert.pem in den Ordner \DAVID\APPS\WEBBOX\CODE\ kopiert bzw. das vorhandene SelfSigned Zertifikat ersetzt.

    Auch der Weg über den David Administrator -> Webbox -> Konfigurieren -> Erweitert -> Zertifikat erstellen -> vorhandenes Zertifikat einspielen erzeugt einen Fehler, das dieses Zertifkat nicht für SSL/TLS benutzbar wäre.

    Leider gibt es von seitens Tobit keine verbindlichen Vorgaben für das zu verwendete Zertifikat, aber eigentlich sollte ein einfaches SSL Zertifikat ausreichend sein.

    Hier noch das ausführliche Protokoll der Webbox beim Start:
    (00001012) New Socket
    (00001012) ReUseAddr : 1
    (00001012) OutOfBandDataInline: 1
    (00001012) KeepAlive : 5 minutes
    (00001012) Socket Bound to Port 80
    (00001012) listen
    WebBox Active
    (00000172) New Socket
    (00000172) ReUseAddr : 1
    (00000172) OutOfBandDataInline: 1
    (00000172) KeepAlive : 5 minutes
    (00000172) Socket Bound to Port 843
    (00000172) listen
    (00000196) New Socket
    (00000196) ReUseAddr : 1
    (00000196) OutOfBandDataInline: 1
    (00000196) KeepAlive : 5 minutes
    (00000196) Socket Bound to Port 443
    (AC) Certificate state: \\commsrv\david\apps\webbox\code\wbcert.pem
    (AC) Serial number: 00AF0CBA0998BCE9FC6D73579CEFFC33F9
    (AC) Issuer CN: COMODO RSA Domain Validation Secure Server CA
    (AC) Issuer O: COMODO CA Limited
    (AC) Issuer C: GB
    (AC) Subject CN: david.kundendomain.de
    (AC) Valid from: Sun, 09 Feb 2017 00:00:00 GMT
    (AC) Valid to: Sun, 09 Feb 2020 23:59:59 GMT
    (AC) Days left: 1094
    Using TLS file (\\commsrv\david\apps\webbox\code\wbcert.pem)
    Error loading certificate! TLS not available (\\commsrv\david\apps\webbox\code\wbcert.pem)
    (00001032) New Socket
    (00001032) ReUseAddr : 1
    (00001032) OutOfBandDataInline: 1
    (00001032) KeepAlive : 5 minutes
    (00001032) Socket Bound to Port 81
    (00001032) listen
    WebBox Second Port Active

    Hier der Inhalt der DAVIDTLS.INI (unter \WINDOWS\SYSWOW64\ )

    [Settings]
    CipherSuite=HIGH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
    SSLv3=no
    TLS10=no
    TLS11=yes
    TLS12=yes
    ServerCipherOrder=no

    Soweit sollte das funktionieren, tut es aber nicht. Liegt es an der Webbox und einer INKOMPATIBILITÄT des Zertifikat mit 2048bit, SHA256 Verschlüsselung oder habt Ihr noch andere Ideen?

    Einmal editiert, zuletzt von ~iv~ (17. Februar 2017 um 12:24)

  • Kopiere mal bitte die wbcert.pem Datei welche du erstellt hast, und benenne sie mal in wbcert.crt um.

    Öffne die Datei per Doppelklick, sind die Angezeigten Infos OK?

    In der wbcert.pem kommt zuerst das Server Zertifikat (welches du siehst wenn du auf den Server per TLS zugreifst), gefolgt vom Private Key (welcher den Datenstrom wieder entschlüsselt) der beim erstellen der Zertifikatsanforderung generiert wurde.
    Den Hacken im DVAdmin -> Webbox -> Konfigurieren -> Erweitert -> Zertifikatskette übermitteln.
    Sollte nicht genutzt werden wenn die wbcert.pem nur aus den beiden teilen besteht.

    Die webbox selbst prüft das Zertifikat nur auf Vollständigkeit! Nicht ob der CN etc stimmt.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    2 Mal editiert, zuletzt von stylistics (11. Februar 2017 um 00:18)

  • Hallo,

    danke für die Antwort.

    Das Zertifikat zeigt es nach der Umbenennung in .CRT richtig an an. Die Auststeller Angaben sowie der Zeitraum wird alles korrekt angezeigt.

    Der Haken für die Zertifikat Ketten ist nicht aktiviert.

    Woran könnte es noch liegen?

  • Vielleicht liegt es tatsächlich an einem Softwarefehler. Ich habe heute bei einem Kunden versucht, ein selbstsigniertes Zertifikat zu installieren, welches ich über den Assistenten der Webbox erstellt habe, die Webbox akzeptiert dieses Zertifikat nicht, auch dann nicht, wenn ich es manuell erstelle.

    Jörg.

  • Ich hatte die Woche bei zwei Kunden ebenfalls neue Zertifikate welche von
    Comondo Signiert wurden installiert, die CSR hatte ich im IIS erstellt.
    Hatte keine Probleme. Einmal Rollout 259&260.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Ist die Reihenfolge der Zertifikate richtig? Hatte das Problem einmal das ich die vertauscht hatte, hat er nicht angenommen.
    Testweise kann man ja mal nur das Zertifikat selbst plus Root und privat nehmen Intermediate raus lassen. (David hat es einmal mit inter nicht angenommen, weshalb auch immer)

  • Ich habe es eben einmal getestet und das Kundenzertifikat auf meinem Server installiert.

    Mit dem aktuellen Rollout läuft das Zertifikat einwandfrei. Kann es sein, dass ältere Versionen der Webbox nicht mit einer Schlüssellänge von 4096 Bit zurecht kommen?

    Jörg.

    EDIT: Ich habe die ganze Problematik heute Mittag einmal nebst Anhängen, Screenshots und der Online-Registrierung in eine Mail gepackt und an Tobit gesendet. Mal schauen, was passiert.

    Einmal editiert, zuletzt von graef-edv (22. Mai 2017 um 18:03)

  • Soodele,

    heute habe ich von Tobit die Antwort erhalten, dass das Rollout 252 vom 10.06.2016 keine Zertifikate mit 2048 Bit und mehr Verschlüsselungstiefe verarbeiten kann. Eine aussagekräftigere Fehlermeldung der Webbox hätte ich zwar schön gefunden, aber so haben wir diese Info nun wenigstens hier im Forum verewigt. ;)

    Viele Grüße,

    Jörg.

  • Hmm,
    das ist eine gute Frage. Ich bin davon ausgegangen, dass es für die Version und alle älteren Versionen gilt. Sonst könnte ich bei diesem Kunden downgraden und das Ganze zum Laufen bekommen. Der Kunde ist nicht daran interessiert 500-800 Euro auszugeben, damit ein einziger Benutzer EAS nutzen kann. Da muss ich mal alle anderen Kunden abklappern und schauen, ob es einen gibt, der einen älteren Versionsstand hat und trotzdem ein Zertifikat nutzen kann.

    Viele Grüße,

    Jörg.

  • Hallo,

    ich habe eben von einem Bekannten die folgende Info zur Lösung des Problems erhalten:

    Bei uns hat folgendes zur Behebung des Fehlers geführt:
    Windows Server 2003r2 SP1 Full Patched
    1. Zertifikat mit einer alten TLSCERT.exe erstellt und 1024 Länge und in das Verzeichnis kopiert
    2. Verwaltung --> Lokale Sicherheitsrichtlinie --> Lokale Richtlinien -> Zuweisen von Benutzerrechten ->
    Hier muss das "SYSTEM" Konto und die MSSQL$David Konten stehen, wir sind dann über den Weg gegangen und haben einen neuen Domänen Benutzer angelegt und diesen ebenfalls dort eingetragen
    3. Ändern des Benutzers am Verwaltung-->Dienste--> Webbox Dienstkonto SYSTEM --> User
    4. Webbox neu gestartet. geht.


    Wir haben dann wieder auf Systemkonto geändert, aber wieder zurück ändern müssen. Der Webbox Pfad hatte auch alle NTFS Berechtigungen.
    Problem gestern auf Windows Server 2012r2 nach dem aktuellen Updates:
    nach einem Neustart des Servers das gleiche Problem
    Webbox Dienst auf verzögerter Start eingestellt
    Neustart, geht.

    Viele Grüße,

    Jörg.

  • Moin Moin.

    Ich habe wieder mein Problem, dass die Webbox nach einem Neustart des Serveres bzw. nach einem David-Update zwar läuft, aber nicht funktioniert.
    Der Dienst läuft, HTTPS-Verbindungen werden nicht angenommen.

    Im Monitor erhalte ich folgendes Protokoll:

    (00000844) New Socket
    (00000844) ReUseAddr : 1
    (00000844) OutOfBandDataInline: 1
    (00000844) KeepAlive : 5 minutes
    (00000844) Socket Bound to Port 443
    (AC) Certificate state: \\graef-srv01\david\apps\webbox\code\wbcert.pem
    (00000912) New Socket
    (00000912) ReUseAddr : 1
    (00000912) OutOfBandDataInline: 1
    (00000912) KeepAlive : 5 minutes
    (00000912) Socket Bound to Port 81
    (00000912) listen
    WebBox Second Port Active
    (AC) Certificate state failed!
    Using TLS file (\\graef-srv01\david\apps\webbox\code\wbcert.pem)
    Error loading certificate chain file! TLS not available (\\graef-srv01\david\apps\webbox\code\wbcert.pem)


    Starte ich den Dienst manuell neu läuft alles einwandfrei.


    Hat jemand eine Idee?

    Jörg.

  • Moin!


    Zitat

    Starte ich den Dienst manuell neu läuft alles einwandfrei

    Hast Du den Webbox Dienst mal auf "verzögerten Start" gestellt und getestet? Hatte ähnliche Probleme auch schon, und Abhilfe schuf v.g. Einstellung.

  • Sorry, das hatte ich vergessen dazu zu schreiben. Alle Dienste stehen bereits auf "verzögerter Start".

    Macht es Sinn, die Verzögerung für den Service-Layer etwas kürzer zu stellen als für den Rest, so dass der SL bereits läuft, wenn die anderen David-Dienste starten?

    Jörg.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!