Webbox mit "Systemzertifikat" von Lets Encrypt

  • Hallo,


    musste beim Kunden selbsterstelltes Zertifikat herausnehmen da aktuelles iPhone das nicht mochte .-(


    Der Kunde hat nun auch David3, da geht doch auch auf "Knopfdruck" ein Lets Encrypt Certifikat - dachte ich zumindest.


    Den HTTPS Port liegt bei diesem Kunden auf Port 8010 (Webbox.ini Eintrag "HttpsPort = 8010")


    Leider: (DAVIDTLS) 0 certificates loaded (siehe unten)


    Hat irgend Jemand eine Idee was hier falsch läuft ?




    (DAVIDTLS) Initializing (OpenSSL 1.1.1 11 Sep 2018)

    (DAVIDTLS) TLS configuration...

    (DAVIDTLS) - Selected Ciphers: Userdefined

    (DAVIDTLS) - Allowed protocols: TLS 1.0: no, TLS 1.1: yes, TLS 1.2: yes, TLS 1.3: yes

    (DAVIDTLS) - Ciphers order: no

    (00000820) New Socket

    (00000820) ReUseAddr : 1

    ...

    WebBox Active

    (00000864) New Socket

    (00000864) ReUseAddr : 1

    (00000864) OutOfBandDataInline: 1

    (00000864) KeepAlive : 5 minutes

    (00000864) Socket Bound to Port 8010

    (DAVIDTLS) Load module certificates...

    (DAVIDTLS) 0 certificates loaded

    (AC) Verification for renewal certificates...

    (AC) Next renewal verification at 13-APR-2019

    ...

  • Laut David sieht das aber so aus 8)

    Hinweis:

    Während der Aktualisierung des Zertifikats muss die david® WebBox gestartet

    und für eingehende Verbindungen von extern über die oben angegebene Domäne

    und den TCP-Port 80 erreichbar sein.

    Jetzt testen


    Vielleicht klappt es dann besser ...

  • Hi, hatte bereits einen exposed Host auf den Server testweise eingerichtet und Firewall deaktiviert

    (nur für einige Sekunden :-) )


    Leider kommt auf Port 80 immer der IIE (Zielserver ist Server 2016 Essentials)


    Die Webbox war und ist auf Port 80 nicht erreichbar, zweiter Port ist 81


    Gibt es da noch einen anderen Trick ?

  • Ich hab' das bisher nicht hinbekommen mit alternativen Ports bzw. Portweiterleitungen, bisher allerdings auch noch nicht besonders viel Energie in dieser Richtung investiert. Theoretisch müsste es ja funktionieren, wenn du den externen Port 80 an den internen 81 (Webbox) leitest.


    In der Regel läuft auch bei einem installierten IIS auf Port 80 nur die Standard-Webseite (Platzhalter), alternativ könntest du also versuchen, die umzubiegen und die Webbox wieder auf die 80 zu legen. So haben wir das bisher immer gemacht.

  • Hi,


    danke erst Mal für die Infos ...


    Werde mal den IIS deinstallieren, das kann ich aber erst am WE machen.

    Dann Server neu starten, Exposed Host kurz aktivieren, Webbox starten ... testen...


    Gibt es eine Anleitung für die Nutzung von Lets Encrypt Zertifikaten für David3 ?

  • wenn man von self signed Zertifikaten auf Lets Encrypt Zertifikate umstellt muss man zwei Dinge beachten:

    1. für jede Zertifikat Erneuerung muss die Webbox zwingend via Port 80 erreichbar sein.

    2. müssen die alten self signed Zertifikate gelöscht werden und das neue Self Signed Zertifikat auch für alle gewünschten Dienste aktiviert werden, also im David Administrator unter:


    System > TLS-Verschlüsselung > TLS-Zertifikate


    bei allen Standardeinträge, also:


    david WebBox

    david Postman (Senden)

    david Postman (Empfangen)

    david Mail Access Server


    im Feld Zertifikat auf den Schalter "Entfernen" klicken, anschließend den Dialog mit OK schließen und mit dem nächsten Zertifikat weitermachen.


    Anschließend noch kontrollieren das bei dem Zertifikat Lets Encrypt im Feld "Folgenden Diensten zuweisen" alle Haken gesetzt sind.

    Ich nehme an im akuten Fall könnte es am ehesten an letzterem liegen wenn gar keine Zertifikate geladen werden.

    Oder eben daran das die Zertifikatsanfrage sclicht gescheitert ist weil die Webbox zu der Zeit nicht via Port 80 erreichbar war.

    Im Zweifel müsste man wenn der Port 80 mit etwas anderen belegt ist das jeweils zur Erneuerung kurzzeitig umbiegen.


  • Bevor du den ISS deinstalliert kannst du auch einfach den Dienst beenden (im IIS Manager oben einfach Rechtsklick auf den Server und dann "Beenden" auswählen).


    Nach der Anpassung der Webbox Ports auf die für das Zertifikat benötigten wie beschrieben und einem Neustart des Webbox-Dienstes sollte es funktionieren.


    Und bevor du da nen Exposed Host aktivierst würde ich einfach eine einfache NAT-Regel für Port 80 auf den David-Server einrichten.

  • Hallo an alle,


    nun endlich die Lösung. Trotz Deinstallation der Internet Information Services

    Antworteten die auf Port 80 - frech.


    Auf die Frage mit


    netstat -ano | findstr ":80 "


    Bekam ich als Antwort das system auf Port 80 lauschte mit der PID ID 4

    Notwendig war dann noch


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP


    Den Wert "Start" auf "0" setzen, Server neu starten - fertig.


    Nun hatte ich zuvor noch eine Subdomain angelegt mit mail.domainname.de

    und den A-Record auf die WAN IP gelegt.


    Zertifikat anfordern und als Ergebnis: