Windows Server 2016 - WSS/TLS/SSL - kann keine Verb. nach Aussen aufbauen

[schmalz 12]

Hallo,

ich habe ein größeres Problem.

Windows Server 2016 - aktueller Patchstand - ich brauche eine WSS:// Verbindung nach Aussen zu einem Backend.

Unsere eLadesäulen kommunizieren über diesen Server (der eine Lastregelung vornimmt), dieser muss dann die Verbindung über wss:// zu einem Backend bzw. Abrechnungsdienst herstellen.
Genauer gesagt geht es hnier um OCPP Daten der Ladesäulen.

 

Habe ein Testtool:
Auf Windows Server 2016 bekomm ich nur TLS Handshake Fehlermeldungen mit Code 1015 als Rückmeldung

Auf Windows Server 2022 läuft das Tool ohne Probleme und kann eine Verbindung zum Backend herstellen.
Was mache ich falsch?

Hab schon sämtliche Tipps mit TLS 1.1, TSL 1.2 Enable/Disable usw durch.

Mit SSL kenn ich mich leider (noch) zu wenig aus - aber kann das daran liegen ?

 

Grüße

  Stefan

[daabm 1.185]

Netzwerktrace machen (Netmon/Wireshark/"netsh trace start capture=yes tracefile=xyz.etl" - sollte mit Netmon analysiert werden, Wireshark kann netsh-Traces nicht lesen ohne Konvertierung), reinschauen was beim Handshake schiefgeht.

[NorbertFe 1.805]

In den meisten Fällen bei solchen Fehlern müßte vermutlich dem .net Framework tls 1.2 aktiviert werden. Ich meine, dass das bei Windows 2016 nicht defaultmässig aktiv ist.

https://learn.microsoft.com/de-de/mem/configmgr/core/plan-design/security/enable-tls-1-2-client Abschnitt zu .net.

[schmalz 12]

vor 35 Minuten schrieb daabm:

Netzwerktrace machen (Netmon/Wireshark/"netsh trace start capture=yes tracefile=xyz.etl" - sollte mit Netmon analysiert werden, Wireshark kann netsh-Traces nicht lesen ohne Konvertierung), reinschauen was beim Handshake schiefgeht.

Kannst du mir da direkt mal weiterhelfen - ich steh da echt aufm Schlauch :-(

Bin aus dem ganzen Thema etwas raus - bin eher so auf der Steuerungsseite.

Kannst auch gerne Remote mal kurz draufschauen - hab mir hier ne Testumgebung gebastelt

 

Grüße

  Stefan

[daabm 1.185]

Ich bin Angestellter - "kurz mal Remote" zahlt mir niemand, und hier gibt's auch kein Entgelt Sorry, aber das geht nicht.

Wenn Du's nicht selber kannst, mußt Du jemand suchen (und bezahlen), der es kann. So ist der Wirtschaftskreislauf definiert.

 

Und Norbert gab ja schon nen entsprechenden Hinweis.

[schmalz 12]

vor 4 Minuten schrieb daabm:

Ich bin Angestellter - "kurz mal Remote" zahlt mir niemand, und hier gibt's auch kein Entgelt Sorry, aber das geht nicht.

Wenn Du's nicht selber kannst, mußt Du jemand suchen (und bezahlen), der es kann. So ist der Wirtschaftskreislauf definiert.

 

Und Norbert gab ja schon nen entsprechenden Hinweis.

Kann ich verstehen. Bin auch nur Angesteller - aber in diesem Fall halt eben mit diesem Problem an dem ich mir die Zähne ausbeiße :-(

Den Workaround von Norbert hab ich bereits durch.

 

Grüße

  Stefan

[NorbertFe 1.805]

vor 16 Minuten schrieb schmalz:

Workaround

Das ist kein workaround. Und je nachdem ob es ne 64Bit oder 32bit Applikation ist, muss das natürlich für beide aktiviert werden.

[schmalz 12]

Gerade eben schrieb NorbertFe:

Das ist kein workaround. Und je nachdem ob es ne 64Bit oder 32bit Applikation ist, muss das natürlich für beide aktiviert werden.

Ich bin die Anleitung von oben bis unten durch. Habe alle Keys geprüft und gecheckt - für 32 und 64 bit

Warum soll es kein Workaround sein ?

 

Grüße

  Stefan

[NorbertFe 1.805]

Weil ein workaround ein Problem umgeht. Die Aktivierung von tls 1.2 ist aber normal und umgeht nicht ein Problem, sondern löst es ggf.

[schmalz 12]

Dann hab ich das Problem also wohl gelöst - funktionieren tuts aber trotzdem nicht   :-(

 

[testperson 1.534]

Hi,

 

vor 6 Stunden schrieb schmalz:

dieser muss dann die Verbindung über wss:// zu einem Backend bzw. Abrechnungsdienst herstellen.

 

was sagt denn der Betreiber vom Backend dazu? Die sollten dort auch entsprechende Fehler / Probleme mitkriegen, sofern auf eurer Seite kein Proxy / keine Firewall / AV Lösung die TLS / Websocket Verbindung auf- / unterbricht.

 

Bzw. ein weiterer Ansatz - sofern noch nicht geschehen: Lade dir mal IIS Crypto (Nartac Software - Download) runter, klicke auf "Best Practice", setze den Haken bei "Reboot" und klicke auf "Apply". Nach dem Reboot dann nochmal prüfen.

 

Gruß

Jan

bearbeitet 17. Dezember 2022 von testperson

[NorbertFe 1.805]

vor 39 Minuten schrieb schmalz:

Dann hab ich das Problem also wohl gelöst - funktionieren tuts aber trotzdem nicht   :-(

 

Die richtigen Begriffe zu verwenden ist nie verkehrt, auch wenn’s bei dir jetzt nicht geholfen hat.

 

viel Erfolg noch

norbert

 

[daabm 1.185]

vor 2 Stunden schrieb testperson:

kein Proxy / keine Firewall / AV Lösung die TLS / Websocket Verbindung auf- / unterbricht.

SSL-Interception? Aber Du hast Recht, der Anbieter sollte das genauso gut tracen können. Und vielleicht hat der ja Menschen, die das können 👍

[schmalz 12]

Hallo zsammen,

 

Leider hat Crypto IIS auch nicht funktioniert.

Das mit dem Backend - dort nachfragen - ist auch etwas schwierig.

Die Ladeboxen kommen ohne den Umweg über den Server problemlos aufs Backend. Ich brauch den Weg über den Sever aber um das Lastmanagement einzubinden.

 

Sch..... :-(

 

Bei Windows Server 2022 - keinerlei Problem.
Server installieren - Programm ausführen - Funktioniert - ohne irgendwelche Einstellungen.

 

 

Grüße

  Stefan

[NorbertFe 1.805]

vor 27 Minuten schrieb schmalz:

Bei Windows Server 2022 - keinerlei Problem.

Dann nimm win2022 als workaround. :p