Zusatzbeschreibung
Diese Voraussetzungen sind in der Implementierungsbeschreibung „Datenprotokoll zur HTTP(S)- Kommunikation“ (deutsch, english) beschrieben. Ohne Anspruch auf Vollständigkeit sind folgende Ursachen von Verbindungsaufbauproblemen in der Vergangenheit vermehrt beobachtet worden:
- Auf dem Gerät liegt das korrekte Top-Level-Zertifikat nicht vor, von dem die Zertifikatskette abgeleitet wurde (vgl. Anhang B.5.2)
- Die Zertifikate, die auf dem Gerät abgelegt sind, sind nicht PEM kodiert (vgl. Anhang B.5.2)
- Ein oder mehrere Zertifikate der Zertifikatskette des Servers sind länger als 2048 Bit (vgl. Anhang B.7)
- Der Web-Server verwendet virtuelle Hosts und ordnet jedem dieser Hosts ein anderes Zertifikat zu. Wenn in den „Systemvariablen für die Gerätekommunikation“ der SNI-Host nicht korrekt gesetzt ist, wird i.d.R. das Haupt-Zertifikat des Web-Servers für die Verschlüsselung eingesetzt (vgl. Anhang E.2 und E.4)
Bitte prüfen Sie die Zertifikatskette und Korrektheit des SNI-Hosts – falls erforderlich - hinsichtlich der Anforderungen, so wie im Kommunikationsprotokoll beschrieben.
Fehler in der Zertifikatsprüfung werden im Systemlog (falls das Log-Flag unter Kommunikation / HTTPS aktiviert ist) durch die Meldungen
SECURE-ERROR WRITE <-9984,X509 - Certificate verification failed, e.g. CRL, CA or signature check failed>!
und
SECURE-ERROR, RESULT <The certificate is not correctly signed by the trusted CA|>!
begleitet.
