Rollout 288 ist da ;)

    Vielen Dank für die Info, DNS Verwaltung liegt bei Inwx, an sich sehr flexibel.

    Offensichtlich basteln die zur Zeit an einem eigenen Dyndns Server, der dann als A - Eintrag im DNS landet.

    Im Moment kann ich aber den Wert nicht aktualisieren.


    Aber was nicht ist....


    Vielen Dank für Eure Tipps! :)

    Umstellen auf feste IP ist nicht möglich?

    Damit spart man eine Menge Ärger.


    Nehme an Mail Zustellung dann über ISP mit Pop/SMTP


    Gruß

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

    Hallo in die Runde,


    als diese Funktion frisch integriert wurde konnte ich eine subdomain auf CNAME anlegen und auf einen dnydns Eintrag zeigen lassen und es hat funktionioert. Jetzt sollte das Zertifikat erneuert werden und es erscheint:


    Code 1004

    Error Error order certificate Status

    Code 422 Description

    Invalid domain provided

    Reason Missing A-Record



    Mein Workaroud dafür ist das ich die Subdomain auf A-Record (meine feste IP) ändere. Nach ca. 1 Stunde kann ich dann das Zertifikat beantragen funktioniert auch. Danach ändere ich die Subdomain wieder auf CNAME mit dyndns. Geht aktuell nicht anders da ein A-Record - dyndns Funktion wie bei Strato nicht verfügbar ist.

    Hallo,

    feste IP Adresse ist nicht möglich?

    Spart viel Arbeit.


    Prüf doch mal bei Strato nach, ob es hier nicht über ein Hosting Packet Update möglich ist, das deine ddns Adresse funktioniert.

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

    Telekom schreibt:

    Sie haben kein Anschlussprodukt das eine feste IP Adresse ermöglicht.

    ( DeutschlandLAN IP Start Premium ).


    Und die Domain liegt bei Domainfactory und die haben kein Dyndns wie bei Strato.


    => würde in der Situation heißen anderen Telekomvertrag oder eine Domain bei Strato buchen oder den Workaround

    Zitat von cssml

    => würde in der Situation heißen anderen Telekomvertrag oder eine Domain bei Strato buchen oder den Workaround

    Das haben wir bei einem Kunden genau so umgesetzt (sein normales Hosting läuft ebenfalls über Domain Factory). Einfach bei Strato eine separate Domain nur zum Mailen eingerichtet, dann deren dyndns konfiguriert -> läuft stabil. Bisschen blöd, aber wenn' keine feste IP gibt... Die Domain kostet ja auch nur den sprichwörtlichen "Appel und 'n Ei", da kann man das schonmal machen.


    Dass es mit CNAME nicht funktioniert (obwohl die Erst-Einrichtung klappt), habe ich schon vor einer Weile an Tobit gemeldet. Keine Ahnung, ob die in der Richtung was machen werden. Eventuell liegt es ja auch gar nicht am David, sondern am Verhalten des Let's-Encrypt-Updaters.

    Ich möchte das Thema noch mal aufgreifen. Bei einem Kunden bekomme ich den Port 80 nicht zum david Server (da bereits vergeben). Kann man diesen auf einen anderen Umstellen?


    • Für die Anforderung und zum Zeitpunkt der automatischen Zertifikat-Aktualisierung (ca. alle 60 Tage) muss die david® WebBox gestartet und für eingehende Verbindungen von extern über die unten eingetragene Domäne und den TCP-Port 80 erreichbar sein.

    ja in der david.ini

    kannst du hier nicht den Tarif ändern auf Voice/Data S da ist eine Feste IP mit bei

    oder ist es wegen den kosten nicht akzeptabel?

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

    Moin,

    irgendwie klemmt bei mir noch was.

    Ich habe die Mail- und Homepagedomäne bei der Domainfactory. Dort habe ich auch ein SSL Zertifikat erworben, dass bis Mitte 2020 gültig ist.

    Der Internetanschluss ist bei der Telekom und mit einer festen IP versehen.

    Bei der DF habe ich eine Subdomain mail.kunde.tld eingerichtet und eine DNS-Weiterleitung auf die öffentliche Telekom-IP gesetzt. Über Webaccess komme ich mit dem Aufruf mail.kunde.tld auch zum Ziel.

    Die iphones mit activesync sind aber bockig und können die Identität des Servers nicht prüfen.

    In David habe ich zur Zeit noch ein selbstsigniertes Zertifikat am Laufen, was wohl der Fehler ist. Mir fehlt der Ansatz, mein erworbenes Zertifikat mit tlscert für die Webbox bereit zu stellen.


    Je mehr ich hier suche, desto größer wird der Konten zwischen meinen Ohren!

    Gibt es einen Tipp?

    Einmal editiert, zuletzt von Horscht () aus folgendem Grund: Wurstfinger

    Zitat von Horscht

    Bei der DF habe ich eine Subdomain mail.kunde.tld eingerichtet und eine DNS-Weiterleitung auf die öffentliche Telekom-IP gesetzt.

    Als DNS-A Record oder Weiterleitung? Nur mit dem DNS-A Record klappt das. Welches TLS Zertifikat willst

    du verwenden (über Tobit, oder deins bei DF?)

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    Hallo Stylistics,

    ich habe einen DNs-A auf die öffentliche Telekom Ip gesetzt.

    Ich habe es so verstanden, dass mein selbsterstelltes nicht mehr vertrauenswürdig ist und daher eines bei der DF bestellt. Das möchte ich nutzen.

    Muss ich jetzt über Tlscert einen Request to CA erstellen?


    Horscht

    Daher die Frage ;) das komplette Zertifikat ink. Privatem Schlüssel muss in der Webbox hinterlegt werden, den zu ihr bauen die Clients ja die Verbindung auf.


    Du kannst es über den Punkt Konfigurieren in die Webbox importieren.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    Das gekaufte Zertifikat besteht aus 3 Dateien (Domäne.CRT+Key, intermediate_ca.crt). Diese kann ich wohl nicht in die Webbox importieren oder habe ich mal wieder einen Knoten in der Optik?Ich habe versucht, die erstellte WBCERT zu editieren bzw um die verifizierte Key-datei zu ergänzen.

    Mein gekauftes Zertifikat war ursprünglich für die Nutzung zur Homepageabsicherung (HTTPS) und läuft auf die Domäne http://www.Kunde.tld. Wegen meiner Umleitung über die Subdomäne mail.kunde.tld meckert die Webbox die falsche Domäne an.

    Nur zum Verständnis:

    -auf dem iphone richte ich ein EAS-Konto auf mail.kunde.tld ein.

    -Mail.Kunde.tld zeigt mittels DNS-A auf meine öffentliche IP .

    -Der Webaccess läuft auf 81, also muss ich auf 81 forwarden. Und läüft auch.

    - HTPPS-Port ist die 8080 (webbox.ini)

    -Die iphones kommen beim EAS mit 443

    Ich muss dann Anfragen, die über 443 auf Mail.Kunde.tld laufen davon überzeugen, auf 8080 zu gehen - oder eben HTTPS auf 443 zurück biegen.

    Soweit richtig?

    Eine Frage fällt mir gerade noch ein.

    Beim Webaccess über http reicht es wohl aus, die wbcert.pem abzulegen.

    Aus alter Gewohnheit habe ich dies beim gebastelten Zertifikat auch so genacht.

    Muss es importiert werden?

    Also da der Client zur Webbox eine Verbindung aufbaut, egal ob EAS, Webaccess, muss auch die Webbox das

    Richtige Zertifikat samt Privatkey, und idealerweise auch Zwischenzertifikaten haben.


    Du erstellt mit dem Notepad ne leer Datei und kopiert den den Inhalt der Server Zertifikates, des Privaten

    Schlüssels und der Zwischenzertifikate da rein, speicher Sie als cert_bundle.pem auf dem Desktop des

    Server.


    Dann startest du den David Admin und klickst bei der Webbox auf Konfigurieren:



    Wenn du die Zwischenzertifikate auch in der Datei hast dann setzte den

    Hacken bei Zertifikatskette.....


    Jetzt klickst du auf Zertifikat installieren:


    und wählst diese Option, wenn die Datei komplett

    ist bekommst du am Ende die passenden Infos angezeigt,

    und nach dem neustart der Webbox sollte die Webbox

    das Zertifikat auch benutzen.


    Baue eine TLS Verbindung Lokal oder Extern auf die Webbox

    auf und schau dir die Zertifikatsinfos an.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    Moin,

    in welcher Reihenfolge packst Du die Zertifikate in der Datei cert_bundle.pem und packst Du das Root-Zertifikat mit rein?


    Momentan läuft es bei allen Kunden, aber ich kann mich daran erinnern, dass ich da mal fast wahnsinnig geworden bin und ewig an der Reihenfolge gebastelt hatte, bis es lief. Machst Du Leerzeilen zwischen die einzelnen Zertifikate?


    Viel Grüße,

    Jörg

    Wenn das wie beschrieben über die Import Funktion der Webbox eingelesen wird, ist die Reihenfolge fast egal. Einfach untereinander anordnen:


    ———End Certifikate———-

    ———Begin Certifikate——-

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden