Zur Hauptnavigation springenZum Inhalt springen

Webserver Aufbau einer HTTPS-Verbindung schlägt fehl.

Frage

Der Aufbau einer HTTPS Verbindung schlägt fehl.

Antwort

Es gibt mehrere Voraussetzungen für die erfolgreiche Prüfung einer HTTPS Zertifikatskette.

Zusatzbeschreibung

Diese Voraussetzungen sind in der Implementierungsbeschreibung „Datenprotokoll HTTP- und HTTPS- Kommunikation“ (deutschenglish) beschrieben. Ohne Anspruch auf Vollständigkeit sind folgende Ursachen von Verbindungsaufbauproblemen in der Vergangenheit vermehrt beobachtet worden:

  • Auf dem Gerät liegt das korrekte Top-Level-Zertifikat nicht vor, von dem die Zertifikatskette abgeleitet wurde (vgl. Anhang B.5.2)
  • Die Zertifikate, die auf dem Gerät abgelegt sind, sind nicht PEM kodiert (vgl. Anhang B.5.2)
  • Ein oder mehrere Zertifikate der Zertifikatskette des Servers sind länger als 2048 Bit (vgl. Anhang B.7)
  • Der Web-Server verwendet virtuelle Hosts und ordnet jedem dieser Hosts ein anderes Zertifikat zu. Wenn in den „Konfiguration zur Gerätekommunikation“ der SNI-Host nicht korrekt gesetzt ist, wird i.d.R. das Haupt-Zertifikat des Web-Servers für die Verschlüsselung eingesetzt (vgl. Anhang E.2 und E.4)

Bitte prüfen Sie die Zertifikatskette und Korrektheit des SNI-Hosts – falls erforderlich - hinsichtlich der Anforderungen, so wie im Kommunikationsprotokoll beschrieben.

Fehler in der Zertifikatsprüfung werden im Systemlog (falls das Log-Flag Kommunikation / HTTPS aktiviert ist) durch die Meldungen

SECURE-ERROR WRITE <-9984,X509 - Certificate verification failed, e.g. CRL, CA or signature check failed>!

und

SECURE-ERROR, RESULT <The certificate is not correctly signed by the trusted CA|>!

begleitet.

Frage

Zertifikatsgröße

Antwort

Aktuell können von Datafox Devices maximal 2k Zertifikate verarbeitet werden. Weitere Hinweise siehe Datenprotokoll http(s) Kommunikation.

Informationsblatt Datenprotokoll