Hallo Gemeinde,
nach dem ich hier im Forum nun die relevanten Beiträge durch habe und auch an anderer Stelle recherchiert und auch verschiedenes ausprobiert habe, weiß ich grad nicht weiter...
Folgender Sachverhalt:
Tobit David mit Webbox - Rollout-260 - Betriebssystem Windows 10 Pro x64
Webbox mit TLS aktiviert
Webbox von außen per Port 443 erreichbar
Domain david.kundendomain.de verweist auf die WAN IP des Internetzugangs des Kunden
für diese Domain habe ich ein SSL Zertifikat erstellen lassen
Mit einem durch TLSCert.exe selbst signierten Zertifikat (2048bit, 1095 Tage) funktioniert der Zugriff auf die Webbox vom iPhone IOS 10.2.1 und auch vom Browser. Allerdings erscheint beim Einrichten des Exchange ActiveSync eMail Kontos halt diese lästige Fehlermeldung, das dem Zertifikat nicht vertraut wird und dieses muss ich erst bestätigen. Der Zugriff mit dem Browser auf die Webbox bringt ebenso die Meldung, das das Zertifikat nicht sicher ist .... Ist ja auch klar, weil selbstsigniert. Mit den entsprechenden Bestätigungen komme ich dann aber weiter.
Mit einem "echten" Zertifikat bekomme ich aber den Fehler "Error Load Certificate..." :
Ich habe mir ein COMODO Positiv SSL Domain validiertes Zertifikat bei SSLPoint.com bestellt und habe entsprechend das Zertifikat als *.CRT erhalten. Den Certifacte Request (als *.PEM Datei) habe ich vorher wie in einem anderen Beitrag hier (Beitrag Webbox mit SSL) beschrieben mit dem TLSCert.exe Programm erstellt. Später habe ich aus dem *.CRT File den Teil -----BEGINN CERTIFICATE----- ... -----END CERTIFCATE ----- in die vorher erstellte .PEM Datei vor den Teil des PRIVATE KEY kopiert und den CERTIFACTE REQUEST gelöscht. Die Zwischenzertifikate habe ich NICHT hineinkopiert, weil die meines Wissens nicht notwendig sind, aber im Laufe meiner Fehlersuche habe ich auch dieses getestet. Diese Datei habe ich als wbcert.pem in den Ordner \DAVID\APPS\WEBBOX\CODE\ kopiert bzw. das vorhandene SelfSigned Zertifikat ersetzt.
Auch der Weg über den David Administrator -> Webbox -> Konfigurieren -> Erweitert -> Zertifikat erstellen -> vorhandenes Zertifikat einspielen erzeugt einen Fehler, das dieses Zertifkat nicht für SSL/TLS benutzbar wäre.
Leider gibt es von seitens Tobit keine verbindlichen Vorgaben für das zu verwendete Zertifikat, aber eigentlich sollte ein einfaches SSL Zertifikat ausreichend sein.
Hier noch das ausführliche Protokoll der Webbox beim Start:
(00001012) New Socket
(00001012) ReUseAddr : 1
(00001012) OutOfBandDataInline: 1
(00001012) KeepAlive : 5 minutes
(00001012) Socket Bound to Port 80
(00001012) listen
WebBox Active
(00000172) New Socket
(00000172) ReUseAddr : 1
(00000172) OutOfBandDataInline: 1
(00000172) KeepAlive : 5 minutes
(00000172) Socket Bound to Port 843
(00000172) listen
(00000196) New Socket
(00000196) ReUseAddr : 1
(00000196) OutOfBandDataInline: 1
(00000196) KeepAlive : 5 minutes
(00000196) Socket Bound to Port 443
(AC) Certificate state: \\commsrv\david\apps\webbox\code\wbcert.pem
(AC) Serial number: 00AF0CBA0998BCE9FC6D73579CEFFC33F9
(AC) Issuer CN: COMODO RSA Domain Validation Secure Server CA
(AC) Issuer O: COMODO CA Limited
(AC) Issuer C: GB
(AC) Subject CN: david.kundendomain.de
(AC) Valid from: Sun, 09 Feb 2017 00:00:00 GMT
(AC) Valid to: Sun, 09 Feb 2020 23:59:59 GMT
(AC) Days left: 1094
Using TLS file (\\commsrv\david\apps\webbox\code\wbcert.pem)
Error loading certificate! TLS not available (\\commsrv\david\apps\webbox\code\wbcert.pem)
(00001032) New Socket
(00001032) ReUseAddr : 1
(00001032) OutOfBandDataInline: 1
(00001032) KeepAlive : 5 minutes
(00001032) Socket Bound to Port 81
(00001032) listen
WebBox Second Port Active
Hier der Inhalt der DAVIDTLS.INI (unter \WINDOWS\SYSWOW64\ )
[Settings]
CipherSuite=HIGH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
SSLv3=no
TLS10=no
TLS11=yes
TLS12=yes
ServerCipherOrder=no
Soweit sollte das funktionieren, tut es aber nicht. Liegt es an der Webbox und einer INKOMPATIBILITÄT des Zertifikat mit 2048bit, SHA256 Verschlüsselung oder habt Ihr noch andere Ideen?