Hallo,
ich habe bei StartSSL ein ServerZertifikat erstellt und genau nach der Anleitung
in IPSymcon installiert.
Der Webserver startet jedoch nicht, und wenn ich dieses triggere kommt die Fehlermeldung:
Could not load root certificate. error:00000000:lib(0):func(0):reason(0)
Kann mir da jemand weiterhelfen?
Im Voraus schon mal danke!
Gruß Detlef
Ups. weiß natürlich das man „Fehler“ mit „h“ schreibt… Bevor ich da ein paar nette Kommentare ernte 
Das root Zertifikat wird nicht von Microsoft ausgeliefert und muss per hand in den windows Speicher geladen werden. Suche eine Anleitung zur Nutzung mit dem Windows Webserver iis.
Gesendet von meinem HTC Desire mit Tapatalk 2
Hallo,
erstmal vielen Dank für die Antwort.
Aber ich glaube ich verstehe etwas nicht…
Was meinst Du mit Windows Speicher und was hat der mit der Webserver Instanz von IPSymcon zu tun?
Nutzt IPSymcon den Webserver von Windows?
Gruß Detlef
Ergänzung: Ich habe den IIS von WHS bisher noch gar nicht eingerichtet sondern betreibe IPS native wie es vorher auf WIN 7 lief …
Welche Dateien hast Du denn jetzt im /ips/cert Verzeichnis?
Hallo,
Ich hab jetzt, außer den schon vorher vorhandenen Standarddateien folgende dort:
32971.cer (StartSSL Server Zertifikat)
32971.key (entschlüsselter private Key)
32971.pem (CA root Zertifikat)
Gruß Detlef
Sent from my GT-I8750 using Tapatalk
d.h. ssl.cer und ssl.key sind da?
32971 ist wirklich die ID des WebServers, nicht Webfront Konfigurator?
Ich habe noch die <ID>.crt bei mir mit drin, die braucht man aber glaube ich nicht.
Hmmm…ich selber nutze StarSSL nicht mehr, sondern GoDaddy, aber so auf den ersten Blick stimmt es dann bei Dir.
Vielleicht kann Paresy mit der Fehlermeldung mehr anfangen.
Von StartSSL habe ich „ssl.cer“ und „ssl.key“ (entschlüsselt) in der „cert“ Ordner geschoben, funktioniert einwandfrei. Also keine ID in den Dateinamen. Die alten Dateien habe ich einfach mit „.bak“ als neue Endung aus dem Weg geschafft.
Hallo,
das ist ja mal interressant…
Ist die Anleitung dann nicht mehr gültig?
Und wie läuft das dann wenn man mehrere Webserver Instanzen hätte?
Die Default key und cer Datei werden einfach überschrieben?
Gruß Detlef
Nachtrag:
Im offiziellen IPS Handbuch steht:
Option A: /cert/ssl.cer; /cert/ssl.key
Option B: /cert/12345.cer; /cert/12345.key; /cert/12345.pem
Bei Option A werden die standardmäßig vorhandenen Zertifikate genutzt. Diese werden immer über das LiveUpdate aktualisiert und sollten somit nicht benutzerseitig verändert werden. Wenn benutzerdefinierte Zertifikate genutzt werden sollen, muss Option B gewählt werden. Dazu müssen jeweils das Zertifikat (id.cer), die Schlüsseldatei (id.key) und optional das Root-Zertifikat (id.pem) angelegt werden. “id” gibt dabei die InstanzID der entsprechenden WebServer Instanz an.
Die /cert/ssl.cer; /cert/ssl.key sollte man also nicht anpacken-oder?
Gut zu wissen. Mal eben die Zertifikate kopiert und mit der WebServer ID gespeichert. Das Intermediate Zertifikat (.pem) brauchte ich nicht - zumindest bei den von mir getesten Browsern. Bei meinem richtigen Webserver brauchte ich das vor Jahren mal, weil es sonst eine Fehlermeldung gab. Ob das überhaupt noch aktuell ist - keine Ahnung. Bei IPS schadet es jedenfalls bei mir auch nicht.
Hallo,
das heißt also bei Dir funktioniert es auch wenn Du es so machst wie ich?
Keine Fehlermeldung bei Neustart IPS oder Webserver?
Gruß Detlef
Korrekt. Wobei ich wie gesagt das IPS-default-Zertifikat (ssl.cer / ssl.key) auch gegen meines getauscht habe. Probier das doch mal.
OK, mach ich . Dankeschön!
Wird aber ein bisschen dauern den mein WHS/esxi isr gerade in Wartung
Gruß Detlef
Ich erinnere mich gerade nicht genau. Aber eine ähnlich lautende Fehlermeldung hatte ich, als ich einen verschlüsselten private key eineschoben hatte. Ggf. nochmal prüfen, ob der nicht doch verschlüsselt ist. Wenn Du das Tool von StartSSL zum generieren genutzt hast, ist der Key verschlüsselt. In der Toolbox bei denen kannst Du den auch wieder entschlüsseln und dann nutzen. Generell ist es aber nicht empfehlenswert seine privaten Schlüssel von Dritten erzeugen zu lassen oder dort zu entschlüsseln. Besser einen Key selbst erzeugen und an StartSSL ein CSR stellen. Das ist weit weniger komfortabel - aber sichererer.
Und bitte nicht einfach die ssl.* Dateien überschreiben. Dieses Verfahren ist nicht updatefest.
Es geht definitiv mit meiner Anleitung.
Hab’s gerade probiert. Geht leider auch nicht 
Habs jetzt doch hingekriegt.
Allerdings geht es nur wenn ich die .pem weglasse…
Sent from my GT-I8750 using Tapatalk