Domino 9.0.1 FP5 - 来自 Google 和 Linked in 的消息失败 - 用户强制使用 0x3FFC02 密码规范位掩码进行 13 种密码

事实证明，该问题与安装 SHA-2 证书有关。如果其他人遇到同样的问题，请发表评论，我可以完成整个过程 :-)

根据要求，这里是完整的过程，特别感谢 IBM 支持 :-)

这是 IBM 的链接http://www-01.ibm.com/support/docview.wss?uid=swg21268695

要在 Domino 服务器上实施 SHA-2 证书，您必须首先满足这些先决条件。

1：通过将 W32 kyrtool.exe 放在 Notes 程序目录中，下载并安装 KYRTool 到步骤 1 中提到的同一 Domino Administrator 客户端上。有关安装和运行 KYRTool 的说明，请参阅下面链接的 wiki 文章。KYRTool 能够处理 SHA-2 证书。

KYRTool下载链接：http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer

将 KYRTool 放在 Notes 程序目录中，因为它依赖于 Notes 安装的 .DLL。如果您系统的 PATH 环境变量中有 Notes/Domino 程序目录，则可以将其安装到任何目录。

2：开始之前，请注意以下有关运行 KYRTool 和 OpenSSL 的信息 如果您的命令行参数中有空格，例如文件路径，空格可能会导致命令行读取不正确，从而导致错误。这可能会影响 OpenSSL 和 KYRTool 的运行命令 要在参数中包含空格，必须用引号分隔该参数。例如，如果 Notes 安装在 Program Files 目录中，则创建密钥环的命令行可能如下所示：kyrtool ="c:\Program Files\IBM\Notes\notes.ini" create -k "c:\Program Files\IBM\Notes\data\keyring.kyr" -p password

3：OpenSSL Windows 版本的 OpenSSL 下载链接位于https://slproweb.com/products/Win32OpenSSL.html OpenSSL 的精简版本足以完成创建 SHA-2 证书所需的任务。截至目前，v1.0.2k 是最新推荐版本。如果您使用的是 Windows 7，则可以使用 32 位或 64 位版本。OpenSSL 可能需要更新 Windows Visual C++ 库。如果库不是最新的，OpenSSL 安装期间将显示提示，提示需要更新的 Visual C++ 库。下载这些库的链接也在 OpenSSL 的下载页面上。安装程序将配置文件“openssl.cfg”提取到 bin 目录。为了让 OpenSSL 读取此配置文件，您必须通过从 DOS 提示符运行以下命令来设置环境变量 SET OPENSSL_CONF=\openssl.cfg 例如 SET OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl.cfg 您可以从“openssl.exe”文件运行 OpenSSL，该文件位于 OpenSSL 安装的 \bin 目录中。在此目录中打开命令提示符窗口来运行它。如果双击 openssl.exe，它将在 DOS 命令窗口中打开。如果以这种方式启动 OpenSSL，则只需在命令窗口中输入 OpenSSL 函数的名称。例如，不要输入“openssl genrsa...”，而要输入“genrsa...”。一切准备就绪后，下一步是按照说明生成 CSR 和 kyring 文件。

（步骤 1 至 6 应在任何安装了管理员客户端、OpenSSL 工具的工作站计算机上完成）以下是使用 SHA-2 证书设置 SSL 的步骤：

步骤 1：打开命令提示符并指向 OpenSSL 所在的路径，然后输入命令“ openssl genrsa -out server.key 4096 ”，这将生成您输入的任何名称的 RSA 密钥（从我的示例来看，它将在 c:\Openssl-win64\bin 上创建一个“sampleserver.key”）。您应该保留此文件，因为稍后在将证书合并到密钥文件时将需要此文件。它包含私钥。

第 2 步：生成证书签名请求 (CSR)

• 输入常用名称、州、国家
• 使用 SHA-2 创建
• 您的 RSA 密钥的名称（我们在步骤 1 中生成的密钥）和 CSR 文件的名称应该保持一致（在我的示例中，我也使用“sampleserver”作为我的 CSR 名称，只需输入“.csr”即可），此命令将生成您的 CSR 文件，并且此文件是您将发送给您的 CA 的文件，以便他们可以请求证书。

这里概述了一种方法

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=ECCC40A836DA3C1885257D99004BF9B0

但对我来说它不起作用——创建了环密钥，测试时它返回了证书详细信息，但部署时失败了。这有点长，但它确实有效

步骤 3：从第三方 CA 获取 SSL/TLS 证书。收到证书后，请确保他们提供给您的证书包含根证书（链上方）、中间证书（第二链）和站点证书（链底部，通常命名为您创建 CSR 时使用的 fqdn）。在下面的屏幕截图中，用户信任是根证书，用户信任 RSA 证书颁发机构和 Network Solutions OV Server CA 2 是中间证书，domino1.chap-con.com 是站点证书如果您能像我们一样提取证书，会很方便。指向要提取的证书 -> 单击“查看证书”-> 转到“详细信息选项卡”。它将打开一个新的 krypto shell 窗口。转到该证书的“详细信息”选项卡，单击“复制到文件按钮”并使用 BASE 64。然后保存它。

步骤 4：我们必须在 kyrtool 上创建密钥文件。打开命令提示符并转到 KYRTOOL 所在的路径。使用我突出显示的命令创建密钥文件。

步骤 5：提取完所有证书后，我们将进行合并。以下是使用 kyrtool 合并证书时应遵循的正确顺序。

进口根源

---

c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\root.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功

c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\intermediate1.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功

如果有 2 个中间证书，也可以通过上述命令合并，只需指明第二个中间证书的名称。

---

导入密钥（在 OPENSSL 步骤 1 上生成的 RSA 密钥）

---

c:\Lotus\Notes>kyrtool 导入密钥 -i “C:\Path\sampleserver.key” -k “C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”成功读取 4096 位 RSA 私钥 SECIssUpdateKeyringPrivateKey 成功

---

进口地点证书

---

c:\Lotus\Notes>kyrtool 导入证书 -i“C:\Path\sitecertificate.crt”-k“C:\Path\keyring.kyr”

使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功

---

步骤 6：如果合并成功，请将 keyring.kyr 和 keyring.sth 复制到 Domino DATA 目录。步骤 7：转到服务器配置并更新 SSL 密钥文件名。在您的服务器文档中，如果您有“从服务器/互联网站点文档加载互联网配置”，请转到“Web”选项卡 -> 互联网站点并打开要修改的网站，然后打开它

我还必须替换配置 > 服务器 > 当前服务器文档 > 端口 > Internet 端口中的密钥环名称

当你更新记录时

告诉 http 重新启动

您可以在以下位置测试邮件服务器：

https://www.htbridge.com/ssl/

只需输入域名和端口，你应该会得到这样的结果