david.fx Webbox über Port 443 > SSL

Hallo Christian,

ich fang mal hinten an, weils leichter ist.

Was die SQL Installation angeht ist das extrem systemabhängig. Wir haben mittlerweile schon um die 30 Updates durchgeführt und es gab Systeme bei denen war das Update in ca. 30-40 Minuten durch und man musste nicht einen Handgriff machen. Dann gab es wieder Updates, bei denen so gar nichts von alleine wollte.

In fast allen Fällen zickte der SQL Server, was letztendlich nicht das Problem von Tobit ist.
Die Fehler dabei waren so zahlreich und unterschiedlich wie die Installationen selbst.

Mit entsprechender Erfahrung im Bereich SQL Installationen - die wir zugegebener Maßen vorher auch nicht besonders viel hatten - löst man die meisten Probleme aber relativ schnell.
Allerdings gibt es auch Systeme, auf denen wir den SQL einfach nicht installieren konnten. In beiden Fällen handelte es sich um gut 5 Jahre alte Standalone-PCs mit XP und extrem viel installierter Software (ich sag nur 3-4 Seiten Programmmenü).

---

So, nun zum eigentlichen Thema.
Mit dem TLS/SSL im David habe ich noch nicht viel gemacht. Warum funktioniert hier die TLSCert.exe nicht? Bei meinem "damaligen" Versuchen ging das durchaus.

Da Windows meldet, dass der Port nicht gebunden werden konnte, würde ich da mal ansetzen.
Läuft noch was in der Richtung auf dem Server? IIS vielleicht? Oder die Reporting Services vom SQL 2008 (nur bei der Vollversion glaube ich)? Die haben mir neulich den Port 80 auf einem Server dicht gemacht, und das erst 3 Monate nach der Installation vom SQL und David.fx...warum auch immer.

Nächste Frage ist, ob das Zertifikat "kompatibel" ist...? Mal eine Alternative probiert?

Wie gesagt, kenne mich in dem Bereich nicht so gut aus, da es selten gefordert ist. Werde aber mal sehen ob ich was Zeit zum testen finde.

Gruß Jens

Haha! Ich sehe grad, ich hab das bei mir daheim sogar laufen, nutze es nur nie.

Bin mir ziemlich sicher, dass ich das Zertifikat mit dem Tool erstellt habe.
Mein Webbox Monitor sagt beim Start folgendes:

WebBox Active
TLS initialisation successful
WebBox SSL Active
WebBox Second Port Active
(00000656) Socket Bound to Port 80
(00000656) listen
WebBox Active
(00000756) New Socket
(00000756) ReUseAddr      : 1
(00000756) OutOfBandDataInline: 1
(00000756) KeepAlive      : 5 minutes
(00000756) Socket Bound to Port 443
TLS initialisation successful
(00000756) listen
WebBox SSL Active
(00000768) New Socket
(00000768) ReUseAddr      : 1
(00000768) OutOfBandDataInline: 1
(00000768) KeepAlive      : 5 minutes
(00000768) Socket Bound to Port 8080
(00000768) listen
WebBox Second Port Active

Ich rufe dann ganz normal die IP des Servers gefolgt von meinem Benutzer auf ( 192.168.xxx.xxx/mein benutzer), aktiviere beim Loginscreen den Haken TLS und klicke auf Start. Die Verbindung schaltet auf https um, sagt mir aber, dass die Identität dieser Webseite nicht bestätigt wurde.

Da mein Zertifikat schon 08 abgelaufen ist (habe es dann wohl offensichtlich in 07 getestet und eingerichtet), werde ich jetzt mal versuchen ein neues zu erstellen.

---

Hier noch ein Hinweis aus der KB, Artikel-Nr. Q-101.838

Zitat

Was ist bei einer Einrichtung zur Nutzung der WebBox<img src="https://tpn.tobit.com/graphic/glossary_s.gif" align="absmiddle" /> über eine sichere TLS-Verbindung zu konfigurieren bzw. zu beachten?

Antwort
Generell ist festzuhalten, dass Sie mittels der »TLSCERT.EXE« aus dem Verzeichnis »DAVID\UTIL\WINDOWS\TLSCERT« ein eigenes TLS-Zertifikat oder ein Zertifikat authentifiziert von z.B. VeriSign erzeugen können.Bei Erzeugung eines eigenen Zertifikats ist folgendes zu beachten:

• Während der Eingabe der entsprechenden Felder nach Aufruf der »TLSCERT.EXE« sollte Sie parallel die im gleichen Verzeichnis befindliche Dokumentation einschließen, um für jeden Punkt den richtigen Eintrag zu setzen.
• Achten Sie darauf, dass Sie im Feld "Common Name" die Domain nennen, für die ein Zertifikat erstellt werden soll, z.B. example.com. Falls Sie auch SubDomains einbeziehen wollen, müssten Sie in dieses Feld*.example.com eintragen.
• Anschließend speichern Sie nach dem Generieren des Zertifikats selbiges direkt ins Verzeichnis »DAVID\APPS\WEBBOX\CODE« als »wbcert.pem« ab.
• Jetzt starten Sie den David Administrator und stellen Sie sicher, dass Sie unterhalb von »WebBox<img src="https://tpn.tobit.com/graphic/glossary_s.gif" align="absmiddle" /> -> Konfiguration -> System« auf der Registerkarte "Domain" den korrekten Domainname eingetragen haben (z.B. example.com) und auf der Registerkarte "Erweitert" den Haken bei »TLS deaktivieren« entfernt haben.

Nach Neustart des Dienstes "WebBox" sind alle notwendigen Schritte zur Einrichtung abgeschlossen und Sie können nun über die URL https://example.com Ihre WebBox über eine sichere SSL-Verschlüsselung konnektieren. Kontrollieren können Sie die Verfügbarkeit mit dem David Administrator über »Monitor -> Applikationen -> WebBox -> System -> Registerkarte "Communication". Hier werden Sie, falls die Anzeige für Monitorinformationen auf Vollständig steht, den Eintrag "WebBox SSL Active" vorfinden.Sollte beim Aufruf der Site über "https://examlpe.com" Ihr Internet Browser melden, dass die Seite nicht angezeigt werden kann, können folgende Faktoren dafür verantwortlich sein:

• Stellen Sie sicher, dass der Port 443 (HTTPS) nicht über eine Firewall<img src="https://tpn.tobit.com/graphic/glossary_s.gif" align="absmiddle" /> gesperrt ist.
• Stellen Sie sicher, dass nicht nebenbei die Microsoft IIS Dienste gestartet sind, hier insbesonder der WWW-Publishing Dienst.

Übrigens, was das Handbuch angeht, so gibt es dieses sehr wohl noch, nur nicht in gedruckter Form. Alle Informationen aus den "alten" Handbüchern und die Neuerungen findet man im Admin und im Client in der Online-Hilfe.

Gruß Jens

Und nochmal ich.

Jetzt weiß ich was Du vermutlich meinst mit der Aussagen, dass die TLSCert.exe nicht klappt. Bei mir wird eine Datei mit 0KB und Null Inhalt erzeugt. Allerdings unter Win08R2. Ich wüsste allerdings nicht, wie ich das Zertifikat damals sonst erzeugt habe...

Da bei mir mit dem leeren Zertifikat die gleiche Meldung (Error Loading...) kommt wie bei Dir, tippe ich wie schon angemerkt darauf, dass David mit Deinem Zertifikat nicht klar kommt.

Gruß Jens

Und noch ein Hinweis.

Beim schließen der TLSCert.exe wird der Eintrag in die .pem Datei dann doch noch geschrieben. Hier wird der RSA Private Key geschrieben (ich hatte Self Signed gewählt).
In der alten, funktionierenden .pem Datei habe ich zusätzlich das Certificate stehen.

Gruß Jens

Zitat von LuisSifer

Hallo Jens,

ich gebe dir Recht mit der Behauptung das es damals mit TLSCert funktioniert hat. Aber das war noch ne ältere David-Version. Mit david.fx 2011 gibt es Probleme. TLS meldet nach anklicken direkt einen Fehler.

Und das ist, wie ich leider oft gelesen habe ein generelles Problem von david.fx.

Trotzdem Danke füpr Deine Posting:-)

Gruss
Christian

Alles anzeigen

Hallo Christian,

das kann ich hier bei uns so nicht nachstellen. Weder bei FX noch bei FX2011. Auf beiden Systemen geht die TSLCert auf und erzeugt auch eine Datei. Bei der CA Variante allerdings nur eine statt zwei und wie erwähnt will die Webbox die erzeugte Datei nicht.

Wie genau hast Du denn jetzt das Zertifikat erzeugt?

Zitat

Kann man den Zugriff auf die Webbox noch mit ner CA kombinieren?

Beschreib bitte mal genauer was Du erreichen willst, ist wie erwähnt nicht ganz mein Thema.

Gruß Jens

Zitat von LuisSifer

Was ich vermisse in der Webbox ist die Möglichkeit auch andere User-Eingänge zu sehen.

melde dich mit anderem usernamen udn kennwort an dann siehst du den anderen user eingang....

Wenn du Gruppen archive sehen willst, musst du die erst verknüpfen und für den Remote Access freigeben dannn siehst du die bei dir unter User/Verknüpfungen...

Zitat von LuisSifer

Also nur die SSL-Verschlüsselung ist mir zu wenig Sicherheit. Ich möchte das sich die Clients gegenüber des Server mittels eines Zertifikates authentifizieren müssen.

Wenn Dir SSL und Authentifizierung per Benutzername und Passwort zu unsicher ist solltest Du besser das Netzwerkkabel ziehen. Willkommen im Web. So läuft es nunmal. Selbst Online-Banking macht nur SSL mit HTML Form Authentication. Ich kann mir nicht vorstellen, dass Deine Firma dieses Maß an Sicherheit benötigt. Und wenn Sie es täte, dann wären da zu 100% Leute angestellt die das umsetzen können. Die müssten dann auch nicht in einem Forum nachfragen.

Client Authentication ist ein Riesenaufwand. Da Du ein Linux Bastler bist kann ich dir Client Authentication nur empfehlen wenn Du mit SSH verschiedene Boxen verwalten musst. Da ist das echt angenehm. Kein Benutzername und Password mehr. Bis Du mal an einem anderen Rechner sitzt. Oder Du bei einem neuen Laptop vergessen hast die Zertifikate einzuspielen. Mach es einfach nicht.

Lass es einfach.

Zitat von LuisSifer

Es kann nicht sicher genug sein, finde ich.

Da hast Du natürlich Recht. Leider ist das in der Praxis nicht immer durchsetzbar. Vor allem wenn das Problem vor dem Monitor sitzt.

Zitat von LuisSifer

Wer sich heutzutage nur auf SSL verlässt ist meiner Meinung nach verlassen.

Alternativen?

Zitat von LuisSifer

http-ports ins Firmeneigene Netz

hmm, bau dir eine dmz und lass den david server nur darin laufen solltest ja bei einem mailserver eh machen...

was genau hast du damit für ein problem? port 25 musst du ja mindestens zu jedem mailserver lassen

ich sag nur mach dich nich verrückt

Hallo Christian,

wüsste nicht, dass David CA unterstützt.

Ebenso wirst Du nicht mit jedem Browser optimale Ergebnisse erzielen, optimiert wurde die Webbox mal für den IE.

Die Webbox läuft auf keiner Plattform, ist eine Eigenentwicklung von Tobit.

Die Eingänge anderer User kannst Du genau wie Gruppenordner einbinden, also einfach verknüpfen und gut. Natürlich muss der Remote Access aktiviert sein und Benutzername / Passwort müssen übereinstimmen. Alternativ letzteres auf dem Eingangsordner selbst frei lassen (nicht im Userroot, denn hierauf wird beim Login geprüft).

Gruß Jens