Webbox mit "Systemzertifikat" von Lets Encrypt

  • Hallo,

    musste beim Kunden selbsterstelltes Zertifikat herausnehmen da aktuelles iPhone das nicht mochte .-(

    Der Kunde hat nun auch David3, da geht doch auch auf "Knopfdruck" ein Lets Encrypt Certifikat - dachte ich zumindest.

    Den HTTPS Port liegt bei diesem Kunden auf Port 8010 (Webbox.ini Eintrag "HttpsPort = 8010")

    Leider: (DAVIDTLS) 0 certificates loaded (siehe unten)

    Hat irgend Jemand eine Idee was hier falsch läuft ?


    (DAVIDTLS) Initializing (OpenSSL 1.1.1 11 Sep 2018)

    (DAVIDTLS) TLS configuration...

    (DAVIDTLS) - Selected Ciphers: Userdefined

    (DAVIDTLS) - Allowed protocols: TLS 1.0: no, TLS 1.1: yes, TLS 1.2: yes, TLS 1.3: yes

    (DAVIDTLS) - Ciphers order: no

    (00000820) New Socket

    (00000820) ReUseAddr : 1

    ...

    WebBox Active

    (00000864) New Socket

    (00000864) ReUseAddr : 1

    (00000864) OutOfBandDataInline: 1

    (00000864) KeepAlive : 5 minutes

    (00000864) Socket Bound to Port 8010

    (DAVIDTLS) Load module certificates...

    (DAVIDTLS) 0 certificates loaded

    (AC) Verification for renewal certificates...

    (AC) Next renewal verification at 13-APR-2019

    ...

  • Laut David sieht das aber so aus 8)

    Hinweis:

    Während der Aktualisierung des Zertifikats muss die david® WebBox gestartet

    und für eingehende Verbindungen von extern über die oben angegebene Domäne

    und den TCP-Port 80 erreichbar sein.

    Jetzt testen

    Vielleicht klappt es dann besser ...

    nicht verzagen, T.A.B-Soft fragen ... :thumbup:

  • Hi, hatte bereits einen exposed Host auf den Server testweise eingerichtet und Firewall deaktiviert

    (nur für einige Sekunden :) )

    Leider kommt auf Port 80 immer der IIE (Zielserver ist Server 2016 Essentials)

    Die Webbox war und ist auf Port 80 nicht erreichbar, zweiter Port ist 81

    Gibt es da noch einen anderen Trick ?

  • Ich hab' das bisher nicht hinbekommen mit alternativen Ports bzw. Portweiterleitungen, bisher allerdings auch noch nicht besonders viel Energie in dieser Richtung investiert. Theoretisch müsste es ja funktionieren, wenn du den externen Port 80 an den internen 81 (Webbox) leitest.

    In der Regel läuft auch bei einem installierten IIS auf Port 80 nur die Standard-Webseite (Platzhalter), alternativ könntest du also versuchen, die umzubiegen und die Webbox wieder auf die 80 zu legen. So haben wir das bisher immer gemacht.

  • Hi,

    danke erst Mal für die Infos ...

    Werde mal den IIS deinstallieren, das kann ich aber erst am WE machen.

    Dann Server neu starten, Exposed Host kurz aktivieren, Webbox starten ... testen...

    Gibt es eine Anleitung für die Nutzung von Lets Encrypt Zertifikaten für David3 ?

  • wenn man von self signed Zertifikaten auf Lets Encrypt Zertifikate umstellt muss man zwei Dinge beachten:

    1. für jede Zertifikat Erneuerung muss die Webbox zwingend via Port 80 erreichbar sein.

    2. müssen die alten self signed Zertifikate gelöscht werden und das neue Self Signed Zertifikat auch für alle gewünschten Dienste aktiviert werden, also im David Administrator unter:

    System > TLS-Verschlüsselung > TLS-Zertifikate

    bei allen Standardeinträge, also:

    david WebBox

    david Postman (Senden)

    david Postman (Empfangen)

    david Mail Access Server

    im Feld Zertifikat auf den Schalter "Entfernen" klicken, anschließend den Dialog mit OK schließen und mit dem nächsten Zertifikat weitermachen.

    Anschließend noch kontrollieren das bei dem Zertifikat Lets Encrypt im Feld "Folgenden Diensten zuweisen" alle Haken gesetzt sind.

    Ich nehme an im akuten Fall könnte es am ehesten an letzterem liegen wenn gar keine Zertifikate geladen werden.

    Oder eben daran das die Zertifikatsanfrage sclicht gescheitert ist weil die Webbox zu der Zeit nicht via Port 80 erreichbar war.

    Im Zweifel müsste man wenn der Port 80 mit etwas anderen belegt ist das jeweils zur Erneuerung kurzzeitig umbiegen.

  • Hi,

    danke erst Mal für die Infos ...

    Werde mal den IIS deinstallieren, das kann ich aber erst am WE machen.

    Dann Server neu starten, Exposed Host kurz aktivieren, Webbox starten ... testen...

    Gibt es eine Anleitung für die Nutzung von Lets Encrypt Zertifikaten für David3 ?

    Bevor du den ISS deinstalliert kannst du auch einfach den Dienst beenden (im IIS Manager oben einfach Rechtsklick auf den Server und dann "Beenden" auswählen).

    Nach der Anpassung der Webbox Ports auf die für das Zertifikat benötigten wie beschrieben und einem Neustart des Webbox-Dienstes sollte es funktionieren.

    Und bevor du da nen Exposed Host aktivierst würde ich einfach eine einfache NAT-Regel für Port 80 auf den David-Server einrichten.

    Viele Grüße

    Timo

  • Hallo an alle,

    nun endlich die Lösung. Trotz Deinstallation der Internet Information Services

    Antworteten die auf Port 80 - frech.

    Auf die Frage mit

    netstat -ano | findstr ":80 "

    Bekam ich als Antwort das system auf Port 80 lauschte mit der PID ID 4

    Notwendig war dann noch

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP

    Den Wert "Start" auf "0" setzen, Server neu starten - fertig.

    Nun hatte ich zuvor noch eine Subdomain angelegt mit mail.domainname.de

    und den A-Record auf die WAN IP gelegt.

    Zertifikat anfordern und als Ergebnis:

  • ... Alles Handeln hat Folgen:

    Der Eintrag:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP

    Den Wert "Start" auf "0" setzen, Server neu starten - fertig.


    bewirkt das die Acronis Backup Konsole nicht mehr startet - was für eine gequirlte S...

    Alle 90 Tage konfigurieren und rebooten um das Zertifikat zu verlängern könnte auf Dauer lästig werden. ICh glaube hier macht es eher Sinn ein Zertifikat für 3 Jahre zu kaufen ...

  • oder Du gibst der dusseligen Acronis Backup Console einfach mal nen anderen Port vor

    Ist mir eh schleierhaft wie ein Server Backup Produkt ernsthaft auf die Idee kommen kann sich Standard Server Ports krallen zu wollen :o Wer hat denn bitte dessen Hersteller mit dem Klammerbeutel gepudert?

  • oder Du gibst der dusseligen Acronis Backup Console einfach mal nen anderen Port vor

    Ist mir eh schleierhaft wie ein Server Backup Produkt ernsthaft auf die Idee kommen kann sich Standard Server Ports krallen zu wollen :o Wer hat denn bitte dessen Hersteller mit dem Klammerbeutel gepudert?

    Die nutzt den Port 9877 als Vorgabe (Acronis Backup 12.5). Man kann wären des Setups natürlich diesen anpassen.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!