我们有 1 个 Mac (osx 10.11.1) 用户运行 Outlook 2016,他正在尝试连接到我们的 Exchange 2013 服务器(版本 15.0 Build 847.32)。在 Outlook 中创建帐户后,帐户旁边会保留一个黄点。
为了诊断,我们确保我们的根证书已添加到 Mac 系统钥匙串中的受信任证书中,并且我们已经验证客户端可以协商/接受证书:
openssl s_client -CApath ~/myca.cer -connect www.example.com:443
我们可以从 Mac 浏览到我们交易所的 www.example.com/owa,一切正常。但由于某种原因,Mac 客户端不会创建/验证帐户。我们可以采取进一步的诊断步骤来帮助解决这个问题吗?
更新:在交换服务器上,我看到带有文本的事件 36874 和 36888:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
我如何确保他们协商一个双方都可以接受的密码套件?
经过大量研究,Mac 无法与 Windows 服务器协商密码套件。原因是他们使用的是 TLS 1.2,并且证书是用 512 位 SHA 签名的。Mac/Windows 无法处理使用 512 位 SHA(通过 TLS1.2)签名的证书,因此配对中止握手。在 Windows 服务器上重新安装 384 位 SHA 签名证书允许 Mac 连接。
根证书可以是 SHA512 签名的——而不是服务器的证书。