Webbox/MAS öffentliches SSL Zertifikat??

  • Hallo Jungs,

    ich will meiner Webbox und meinem MAS beibrigen mit einem echten vertrauenswürdigen SSL Zertifikat zu arbeiten!

    Nun habe ich alle Zertifikate in eine Datei kopiert und diese wbcert.pem genannt. Funktioniert!
    Nur Android meint - noch nicht vertrauenswürdig.

    Irgendjemand schonmal sowas durchgezogen?

  • Hallo,

    wenn im Android Gerät nicht die Stammzertifikate der Zertifizierungsstelle installiert sind, in Windows jedoch schon, kommt es so zu dem unterschiedlichen Verhalten.

    Viele Grüße
    Jens Osterwohldt

    Spezialist bei David Problemen, oder bei der Migration zu Kerio Connect (ebenfalls von AVM KEN! 4).

  • ja davon ging ich zu beginn auch aus.... Aber der Rattenschwanz ist viel laenger, weil der FEhler liegt im crosscertificat. Sprich die Webbox gibt mit dem wbcert nur mein eigenes certificate mit....

    Sprich ich muss irgendwie das imediate und das root ca mit uebermittelt werden.

  • Ich rätsele etwas über das "eigene Zertifikat":
    Wenn ein Zertifikat mit SelfCert erstellt wurde, dann werden fremde Server es nicht als vertrauenswürdig akzeptieren.
    Handelt es sich um ein Zertifikat, das von einer offiziell für zertifikatsvergabe akkreditierten Stelle herausgegeben wurde, dann ist das Selfcert überflüssig,.
    Allerdings muss bei offiziellen Zertifikaten unterschieden werden zwischen eMail-Zertifikaten und Webseiten-Zertifikaten.

    Die Preisunterschiede sind übrigens beachtlich: als ich mich danach erkundigt habe lagen die eMail-Zertifikate für Signatur und Verschlüsselung in ähnlichen Preisbereichen wie bei Tobit.Software. Zertifikate für Webseiten begannen aber erst bei rund 350 Euro pro Jahr.

  • Wir haben ein Webzertifiakt gekauft. Wie gesagt auf Windowsgeräten und Applegeräten ohne Probleme.


    Ich habe das Problem nr mit Androidgeräten.... Diese benötigen das intermediate Zertifikat.

    Wie ist dieses richtig einzubinden???

  • Hallo Detective,

    hast du eine Lösung für das Intermediat Cert gefunden?

    immer das Zertifikat bei den Clients ausrollen is bei großen Installation Käse.

    Gruß

    Sascha

  • wir nutzen SSL Zertifikate von StartCOM für Dienste die über den IIS laufen, über den IIS Manager wird das Zertifikat mit dem Privat Key als PFX exportiert.
    Über OpenSSL wird die PFX dann in eine PEM Datei umgewandelt, und kann dann für die David Webbox genutzt werden, hatte bis jetzt noch keine Probleme
    das ein Client/Device dem Zertifikat nicht vertraut hat, schließlich ist StartCOM ja eine CA.

    Auf Wunsch stelle ich gerne den Befehl für das umwandeln zur Verfügung.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Hi,

    Ja du kannst es nutzen, aber spaetestens auf androids bekommst du cert-fehler, weil du die cert-chain nicht übergeben bekommst.
    Ueber die cabundle.pem kannst du die kette übergeben. Ist aber sehr kompliziert.

    Fuer genauere infos koennt ihr mich gerne nochmals kontaktieren.

  • Hallo,

    würde gerne ein öffentliches CLass2 Zertifikat installieren. Tobit hilft hier nicht, die scheinen es nicht zu wollen oder es selbst nicht zu wissen ?(

    Derweil sind nur noch SHA1 bzw SHA256 Zertifikate erlaubt (mindestens 2048 Bit)
    Mit "Selfcert" erzeugt man nur ein CSR mit veraltetem MD5, das haut einem jede Zertifzierungsstelle um die Ohren.

    Kann mir jemand verraten wie man bei der Webbox zwecks EAS Zugriff diese funktionsfähig aufbereitet ?
    Ich habe ein Zertifikat (crt) , den Server-Key und eine sub.class2.server.ca.pem


    Danke und Gruß

  • An die Frage schließe ich mich an...haben gestern auch das ganze mit StartSSL.com versucht. Gleiche Fehlermeldung...die akzeptieren das ganze mit MD5 nicht.
    Jemand eine Idee....?

    Gruß Thomas

  • Moin!

    Warum erstellt ihr das CSR mit der TLSCERT.exe? Warum nicht mit openSSL den request -> von einer CA zertifizieren lassen und dann in David einhängen? Man ist doch nicht darauf angewiesen die TLSCERT.exe zu nutzen, oder? Wichtig ist nur, dass das CERT mind. 1 Jahr Gültigkeit hat. Oder verstehe ich euer Problem jetzt falsch?

    Greetz.

    Einmal editiert, zuletzt von stsm (7. Mai 2015 um 09:23)

  • Den Antrag erstellen kann ich auch mit StartSSL...aber wie bekomme ich das Zertifikat dann in den Tobit Server?

  • Hi,

    wie ich geschrieben hatte liegen mir ja die Dateien vor. Das Erstellen mache ich selbsverständlich mit openssl :)
    Es geht mir jetzt darum die Zertifkats-Chain unter David einzubauen, sodass die Webbox das "ordentliche" Zertifikat auch akzeptiert.
    Ich versuche mit EAS Mailzugriff ohne Zertifikatswarnung hinzubekommen.

    Die .PEM durch einfaches Zusammenkopieren der .crt / .key und auch der .ca und das dann als wbcert.pem abspeichern ist es nicht.
    Hier muss offensichtlich noch etwas in die Config eingetragen werden.

    Ach ja, das Häkchen "zertifikatskette bei TLS Verbindungen übertragen" nebem dem aktivierten TLS bringt's auch nicht.

    Also: wer hats hinbekommen und opfert sich mal um es zu beschreiben ?

    Grüße

  • das würde mich auch interessieren. wir sind bisher auch daran gescheitert. von tobit ist da auch keine hilfe zu erwarten, die haben scheinbar von open ssl noch nie was gehört.
    hoffentlich wird das in absehbarer zeit mal vernünftig in den dvise admin integriert, der aktuelle zustand ist wirklich ein krampf - auch für selbst signierte zertifikate.

  • Die .PEM durch einfaches Zusammenkopieren der .crt / .key und auch der .ca und das dann als wbcert.pem abspeichern ist es nicht.
    Hier muss offensichtlich noch etwas in die Config eingetragen werden.

    D.h. wenn Du die dann zusammenkopierte PEM in den »DAVID\APPS\WEBBOX\CODE« Ordner ablegst und den Dienst neu startest, passiert was bzw. was nicht? Hab bisher noch nicht getestet, würde mich aber gerne mal ran setzen und testen.

  • ja das habe ich probiert und das Zertifikat scheint er nicht zu akzeptieren.
    Habe auch mehrere Versionen der .pem erstellt, allesamt ohne Erfolg.

  • Also der Dienst startet nur das Zertifikat wird nicht korrekt eingebunden? Das sich wie äußert?
    Das Zertifikat hat aber > 1 Jahr Gültigkeit, oder? Ich hab da sowas im Kopf, das ein Zertifikat, welches von einer offiziellen CA signiert wurde, mind. 1 Jahr Gültigkeit haben muss, sonst nimmt David es nicht an.

  • jep, ist gülig bis Mitte 2017, ein StartCom Class2 Zertifikat.
    Der Verbindungsaufbau bei EAS scheitert weil der Dienst nicht reagiert.

    Sollte es dazu Log-Dateien geben kann ich da mal reinschauen, aber wo ?

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!