我们有 1 位 Mac(osx 10.11.1)用户正在运行 Outlook 2016,他正在尝试连接到我们的 Exchange 2013 服务器(版本 15.0 Build 847.32)。在 Outlook 中创建帐户后,帐户旁边会保留一个黄点。
为了进行诊断,我们确保我们的根证书已添加到 Mac 上的系统钥匙串中的受信任证书中,并且我们已经验证客户端可以协商/接受该证书:
openssl s_client -CApath ~/myca.cer -connect www.example.com:443
我们可以从 Mac 浏览我们的交易所 www.example.com/owa,一切正常。但由于某种原因,Mac 客户端不会创建/验证帐户。我们可以采取进一步的诊断步骤来帮助解决此问题吗?
更新:在 Exchange 服务器上,我看到事件 36874 和 36888,其中包含文本:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
我如何确保他们协商出一个双方都能接受的密码套件?
答案1
经过大量研究,Mac 无法与 Windows 服务器协商密码套件。原因是他们使用的是 TLS 1.2,并且证书是用 512 位 SHA 签名的。Mac/Windows 无法处理用 512 位 SHA(通过 TLS1.2)签名的证书,因此配对中止握手。在 Windows 服务器上重新安装 384 位 SHA 签名证书后,Mac 就可以连接了。
根证书可以用 SHA512 签名 - 但服务器的证书不行。