我们刚刚从 Domino 8.5 升级到 9.0.1 FP5,现在 google/linked 和其他人可能无法连接
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:50:52 PM SMTP Server: maile-ce.linkedin.com (108.174.6.197) connected
[0A44:0015-0618] 03/19/2016 12:50:52 PM SMTP Server: maile-ce.linkedin.com (108.174.6.197) disconnected. 0 message[s] received
[0A44:0015-0618] 03/19/2016 12:36:11.86 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:36:11.87 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:36:11 PM SMTP Server: mail-oi0-f47.google.com (209.85.218.47) connected
[0A44:0015-0618] 03/19/2016 12:36:11 PM SMTP Server: mail-oi0-f47.google.com (209.85.218.47) disconnected. 0 message[s] received
也无法通过浏览器通过 https 连接:-
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLProcessServerHello> Server chose cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006B)
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM FindCipherSpec> Cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (107) is not supported with TLS1.0
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLSendAlert> Sending an alert of 0x2F (illegal_parameter) level 0x2 (fatal)
在这里我正绞尽脑汁,所以如果能得到任何指点我将不胜感激 :-)
答案1
事实证明,该问题与安装 SHA-2 证书有关。如果其他人遇到同样的问题,请发表评论,我可以完成整个过程 :-)
根据要求,这里是完整的过程,特别感谢 IBM 支持 :-)
这是 IBM 的链接http://www-01.ibm.com/support/docview.wss?uid=swg21268695
要在 Domino 服务器上实施 SHA-2 证书,您必须首先满足这些先决条件。
1:通过将 W32 kyrtool.exe 放在 Notes 程序目录中,下载并安装 KYRTool 到步骤 1 中提到的同一 Domino Administrator 客户端上。有关安装和运行 KYRTool 的说明,请参阅下面链接的 wiki 文章。KYRTool 能够处理 SHA-2 证书。
将 KYRTool 放在 Notes 程序目录中,因为它依赖于 Notes 安装的 .DLL。如果您系统的 PATH 环境变量中有 Notes/Domino 程序目录,则可以将其安装到任何目录。
2:开始之前,请注意以下有关运行 KYRTool 和 OpenSSL 的信息 如果您的命令行参数中有空格,例如文件路径,空格可能会导致命令行读取不正确,从而导致错误。这可能会影响 OpenSSL 和 KYRTool 的运行命令 要在参数中包含空格,必须用引号分隔该参数。例如,如果 Notes 安装在 Program Files 目录中,则创建密钥环的命令行可能如下所示:kyrtool ="c:\Program Files\IBM\Notes\notes.ini" create -k "c:\Program Files\IBM\Notes\data\keyring.kyr" -p password
3:OpenSSL Windows 版本的 OpenSSL 下载链接位于https://slproweb.com/products/Win32OpenSSL.html OpenSSL 的精简版本足以完成创建 SHA-2 证书所需的任务。截至目前,v1.0.2k 是最新推荐版本。如果您使用的是 Windows 7,则可以使用 32 位或 64 位版本。OpenSSL 可能需要更新 Windows Visual C++ 库。如果库不是最新的,OpenSSL 安装期间将显示提示,提示需要更新的 Visual C++ 库。下载这些库的链接也在 OpenSSL 的下载页面上。安装程序将配置文件“openssl.cfg”提取到 bin 目录。为了让 OpenSSL 读取此配置文件,您必须通过从 DOS 提示符运行以下命令来设置环境变量 SET OPENSSL_CONF=\openssl.cfg 例如 SET OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl.cfg 您可以从“openssl.exe”文件运行 OpenSSL,该文件位于 OpenSSL 安装的 \bin 目录中。在此目录中打开命令提示符窗口来运行它。如果双击 openssl.exe,它将在 DOS 命令窗口中打开。如果以这种方式启动 OpenSSL,则只需在命令窗口中输入 OpenSSL 函数的名称。例如,不要输入“openssl genrsa...”,而要输入“genrsa...”。一切准备就绪后,下一步是按照说明生成 CSR 和 kyring 文件。
(步骤 1 至 6 应在任何安装了管理员客户端、OpenSSL 工具的工作站计算机上完成)以下是使用 SHA-2 证书设置 SSL 的步骤:
步骤 1:打开命令提示符并指向 OpenSSL 所在的路径,然后输入命令“ openssl genrsa -out server.key 4096 ”,这将生成您输入的任何名称的 RSA 密钥(从我的示例来看,它将在 c:\Openssl-win64\bin 上创建一个“sampleserver.key”)。您应该保留此文件,因为稍后在将证书合并到密钥文件时将需要此文件。它包含私钥。
第 2 步:生成证书签名请求 (CSR)
- 输入常用名称、州、国家
- 使用 SHA-2 创建
- 您的 RSA 密钥的名称(我们在步骤 1 中生成的密钥)和 CSR 文件的名称应该保持一致(在我的示例中,我也使用“sampleserver”作为我的 CSR 名称,只需输入“.csr”即可),此命令将生成您的 CSR 文件,并且此文件是您将发送给您的 CA 的文件,以便他们可以请求证书。
这里概述了一种方法
但对我来说它不起作用——创建了环密钥,测试时它返回了证书详细信息,但部署时失败了。这有点长,但它确实有效
步骤 3:从第三方 CA 获取 SSL/TLS 证书。收到证书后,请确保他们提供给您的证书包含根证书(链上方)、中间证书(第二链)和站点证书(链底部,通常命名为您创建 CSR 时使用的 fqdn)。在下面的屏幕截图中,用户信任是根证书,用户信任 RSA 证书颁发机构和 Network Solutions OV Server CA 2 是中间证书,domino1.chap-con.com 是站点证书如果您能像我们一样提取证书,会很方便。指向要提取的证书 -> 单击“查看证书”-> 转到“详细信息选项卡”。它将打开一个新的 krypto shell 窗口。转到该证书的“详细信息”选项卡,单击“复制到文件按钮”并使用 BASE 64。然后保存它。
步骤 4:我们必须在 kyrtool 上创建密钥文件。打开命令提示符并转到 KYRTOOL 所在的路径。使用我突出显示的命令创建密钥文件。
步骤 5:提取完所有证书后,我们将进行合并。以下是使用 kyrtool 合并证书时应遵循的正确顺序。
进口根源
c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\root.crt”-k“C:\Path\keyring.kyr”
使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功
c:\Lotus\Notes>kyrtool 导入根-i“C:\Path\intermediate1.crt”-k“C:\Path\keyring.kyr”
使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功
如果有 2 个中间证书,也可以通过上述命令合并,只需指明第二个中间证书的名称。
导入密钥(在 OPENSSL 步骤 1 上生成的 RSA 密钥)
c:\Lotus\Notes>kyrtool 导入密钥 -i “C:\Path\sampleserver.key” -k “C:\Path\keyring.kyr”
使用密钥环路径“C:\Path\keyring.kyr”成功读取 4096 位 RSA 私钥 SECIssUpdateKeyringPrivateKey 成功
进口地点证书
c:\Lotus\Notes>kyrtool 导入证书 -i“C:\Path\sitecertificate.crt”-k“C:\Path\keyring.kyr”
使用密钥环路径“C:\Path\keyring.kyr”SEC_mpfct_ImportTrustRootToKYR 成功
步骤 6:如果合并成功,请将 keyring.kyr 和 keyring.sth 复制到 Domino DATA 目录。步骤 7:转到服务器配置并更新 SSL 密钥文件名。在您的服务器文档中,如果您有“从服务器/互联网站点文档加载互联网配置”,请转到“Web”选项卡 -> 互联网站点并打开要修改的网站,然后打开它
我还必须替换配置 > 服务器 > 当前服务器文档 > 端口 > Internet 端口中的密钥环名称
当你更新记录时
告诉 http 重新启动
您可以在以下位置测试邮件服务器:
只需输入域名和端口,你应该会得到这样的结果