Domino 9.0.1 FP5 - 来自 Google 和 Linked in 的消息失败 - 用户强制使用 0x3FFC02 密码规范位掩码进行 13 种密码

Domino 9.0.1 FP5 - 来自 Google 和 Linked in 的消息失败 - 用户强制使用 0x3FFC02 密码规范位掩码进行 13 种密码

我们刚刚从 Domino 8.5 升级到 9.0.1 FP5,现在 google/linked 和其他人可能无法连接

[0A44:0015-0618] 03/19/2016 12:50:52.14 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:50:52 PM  SMTP Server: maile-ce.linkedin.com (108.174.6.197) connected
[0A44:0015-0618] 03/19/2016 12:50:52 PM  SMTP Server: maile-ce.linkedin.com (108.174.6.197) disconnected. 0 message[s] received




[0A44:0015-0618] 03/19/2016 12:36:11.86 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:36:11.87 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:36:11 PM  SMTP Server: mail-oi0-f47.google.com (209.85.218.47) connected
[0A44:0015-0618] 03/19/2016 12:36:11 PM  SMTP Server: mail-oi0-f47.google.com (209.85.218.47) disconnected. 0 message[s] received

也无法通过浏览器通过 https 连接:-

[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLProcessServerHello> Server chose cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006B)
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM FindCipherSpec> Cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (107) is not supported with TLS1.0
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLSendAlert> Sending an alert of 0x2F (illegal_parameter) level 0x2 (fatal)

在这里我正绞尽脑汁,所以如果能得到任何指点我将不胜感激 :-)

答案1

事实证明,该问题与安装 SHA-2 证书有关。如果其他人遇到同样的问题,请发表评论,我可以完成整个过程 :-)

根据要求,这里是完整的过程,特别感谢 IBM 支持 :-)

这是 IBM 的链接http://www-01.ibm.com/support/docview.wss?uid=swg21268695

要在 Domino 服务器上实施 SHA-2 证书,您必须首先满足这些先决条件。

1:通过将 W32 kyrtool.exe 放在 Notes 程序目录中,下载并安装 KYRTool 到步骤 1 中提到的同一 Domino Administrator 客户端上。有关安装和运行 KYRTool 的说明,请参阅下面链接的 wiki 文章。KYRTool 能够处理 SHA-2 证书。

KYRTool下载链接:http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer

将 KYRTool 放在 Notes 程序目录中,因为它依赖于 Notes 安装的 .DLL。如果您系统的 PATH 环境变量中有 Notes/Domino 程序目录,则可以将其安装到任何目录。

2:开始之前,请注意以下有关运行 KYRTool 和 OpenSSL 的信息 如果您的命令行参数中有空格,例如文件路径,空格可能会导致命令行读取不正确,从而导致错误。这可能会影响 OpenSSL 和 KYRTool 的运行命令 要在参数中包含空格,必须用引号分隔该参数。例如,如果 Notes 安装在 Program Files 目录中,则创建密钥环的命令行可能如下所示:kyrtool ="c:\Program Files\IBM\Notes\notes.ini" create -k "c:\Program Files\IBM\Notes\data\keyring.kyr" -p password

3:OpenSSL Windows 版本的 OpenSSL 下载链接位于https://slproweb.com/products/Win32OpenSSL.html OpenSSL 的精简版本足以完成创建 SHA-2 证书所需的任务。截至目前,v1.0.2k 是最新推荐版本。如果您使用的是 Windows 7,则可以使用 32 位或 64 位版本。OpenSSL 可能需要更新 Windows Visual C++ 库。如果库不是最新的,OpenSSL 安装期间将显示提示,提示需要更新的 Visual C++ 库。下载这些库的链接也在 OpenSSL 的下载页面上。安装程序将配置文件“openssl.cfg”提取到 bin 目录。为了让 OpenSSL 读取此配置文件,您必须通过从 DOS 提示符运行以下命令来设置环境变量 SET OPENSSL_CONF=\openssl.cfg 例如 SET OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl.cfg 您可以从“openssl.exe”文件运行 OpenSSL,该文件位于 OpenSSL 安装的 \bin 目录中。在此目录中打开命令提示符窗口来运行它。如果双击 openssl.exe,它将在 DOS 命令窗口中打开。如果以这种方式启动 OpenSSL,则只需在命令窗口中输入 OpenSSL 函数的名称。例如,不要输入“openssl genrsa...”,而要输入“genrsa...”。一切准备就绪后,下一步是按照说明生成 CSR 和 kyring 文件。

(步骤 1 至 6 应在任何安装了管理员客户端、OpenSSL 工具的工作站计算机上完成)以下是使用 SHA-2 证书设置 SSL 的步骤:

步骤 1:打开命令提示符并指向 OpenSSL 所在的路径,然后输入命令“ openssl genrsa -out server.key 4096 ”,这将生成您输入的任何名称的 RSA 密钥(从我的示例来看,它将在 c:\Openssl-win64\bin 上创建一个“sampleserver.key”)。您应该保留此文件,因为稍后在将证书合并到密钥文件时将需要此文件。它包含私钥。

DOS 提示符 1

第 2 步:生成证书签名请求 (CSR)

  • 输入常用名称、州、国家
  • 使用 SHA-2 创建
  • 您的 RSA 密钥的名称(我们在步骤 1 中生成的密钥)和 CSR 文件的名称应该保持一致(在我的示例中,我也使用“sampleserver”作为我的 CSR 名称,只需输入“.csr”即可),此命令将生成您的 CSR 文件,并且此文件是您将发送给您的 CA 的文件,以便他们可以请求证书。

DOS 提示符 2

这里概述了一种方法

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=ECCC40A836DA3C1885257D99004BF9B0

但对我来说它不起作用——创建了环密钥,测试时它返回了证书详细信息,但部署时失败了。这有点长,但它确实有效

步骤 3:从第三方 CA 获取 SSL/TLS 证书。收到证书后,请确保他们提供给您的证书包含根证书(链上方)、中间证书(第二链)和站点证书(链底部,通常命名为您创建 CSR 时使用的 fqdn)。在下面的屏幕截图中,用户信任是根证书,用户信任 RSA 证书颁发机构和 Network Solutions OV Server CA 2 是中间证书,domino1.chap-con.com 是站点证书如果您能像我们一样提取证书,会很方便。指向要提取的证书 -> 单击“查看证书”-> 转到“详细信息选项卡”。它将打开一个新的 krypto shell 窗口。转到该证书的“详细信息”选项卡,单击“复制到文件按钮”并使用 BASE 64。然后保存它。

证书

步骤 4:我们必须在 kyrtool 上创建密钥文件。打开命令提示符并转到 KYRTOOL 所在的路径。使用我突出显示的命令创建密钥文件。

创建密钥

步骤 5:提取完所有证书后,我们将进行合并。以下是使用 kyrtool 合并证书时应遵循的正确顺序。

进口根源


c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\root.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功

c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\intermediate1.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功

如果有 2 个中间证书,也可以通过上述命令合并,只需指明第二个中间证书的名称。


导入密钥(在 OPENSSL 步骤 1 上生成的 RSA 密钥)


c:\Lotus\Notes>kyrtool 导入密钥 -i “C:\Path\sampleserver.key” -k “C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”成功读取 4096 位 RSA 私钥 SECIssUpdateKeyringPrivateKey 成功


进口地点证书


c:\Lotus\Notes>kyrtool 导入证书 -i“C:\Path\sitecertificate.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功


步骤 6:如果合并成功,请将 keyring.kyr 和 keyring.sth 复制到 Domino DATA 目录。步骤 7:转到服务器配置并更新 SSL 密钥文件名。在您的服务器文档中,如果您有“从服务器/互联网站点文档加载互联网配置”,请转到“Web”选项卡 -> 互联网站点并打开要修改的网站,然后打开它

我还必须替换配置 > 服务器 > 当前服务器文档 > 端口 > Internet 端口中的密钥环名称

当你更新记录时

告诉 http 重新启动

您可以在以下位置测试邮件服务器:

https://www.htbridge.com/ssl/

只需输入域名和端口,你应该会得到这样的结果

测试服务器

相关内容