我们刚刚从 Domino 8.5 升级到 9.0.1 FP5,现在 google/linked in,也许其他人无法连接
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:50:52 PM SMTP Server: maile-ce.linkedin.com (108.174.6.197) connected
[0A44:0015-0618] 03/19/2016 12:50:52 PM SMTP Server: maile-ce.linkedin.com (108.174.6.197) disconnected. 0 message[s] received
[0A44:0015-0618] 03/19/2016 12:36:11.86 PM SSLInitContext> User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:36:11.87 PM int_MapSSLError> Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:36:11 PM SMTP Server: mail-oi0-f47.google.com (209.85.218.47) connected
[0A44:0015-0618] 03/19/2016 12:36:11 PM SMTP Server: mail-oi0-f47.google.com (209.85.218.47) disconnected. 0 message[s] received
也无法通过 https 与浏览器连接:-
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLProcessServerHello> Server chose cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006B)
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM FindCipherSpec> Cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (107) is not supported with TLS1.0
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLSendAlert> Sending an alert of 0x2F (illegal_parameter) level 0x2 (fatal)
在这里把我的头撞在众所周知的墙上,所以任何指针都将不胜感激:-)
原来问题与安装 SHA-2 证书有关。如果其他人遇到同样的问题发表评论我可以运行整个过程:-)
此处要求提供完整程序,特别感谢 IBM 支持 :-)
这是 IBM http://www-01.ibm.com/support/docview.wss?uid=swg21268695的链接
要在 Domino 服务器上实施 SHA-2 证书,您首先必须具备这些先决条件。
1:通过将 W32 kyrtool.exe 放在 Notes 程序目录中,在步骤 1 中引用的同一 Domino Administrator 客户端上下载并安装 KYRTool。有关安装和运行 KYRTool 的说明,请参阅下面链接的 wiki 文章。KYRTool 能够处理 SHA-2 证书。
KYRTool 下载链接:http ://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer
将 KYRTool 放在 Notes 程序目录中,因为它依赖于 Notes 安装的 .DLL。如果系统的 PATH 环境变量中有 Notes/Domino 程序目录,则可以将其安装到任何目录。
2:开始之前,请注意以下关于运行KYRTool & OpenSSL的信息如果命令行参数中有空格,比如文件的路径,空格会导致命令行读取错误,从而导致错误. 这会影响 OpenSSL 和 KYRTool 的运行命令 要在参数中包含空格,必须用引号将参数分隔。例如,如果 Notes 安装在 Program Files 目录中,则用于创建密钥环的命令行可能如下所示:kyrtool ="c:\Program Files\IBM\Notes\notes.ini" create -k "c:\ Program Files\IBM\Notes\data\keyring.kyr" -p 密码
3:OpenSSL Windows 版本的 OpenSSL 下载链接位于https://slproweb.com/products/Win32OpenSSL.html OpenSSL 的轻量级版本足以完成创建 SHA-2 证书所需的任务。v1.0.2k 是截至今天的最新推荐版本。如果您使用的是 Windows 7,则可以使用 32 位或 64 位版本。OpenSSL 可能需要更新 Windows Visual C++ 库。如果库不是最新的,在 OpenSSL 安装期间将显示提示,指出需要更新的 Visual C++ 库。下载这些库的链接也在 OpenSSL 的下载页面上。安装程序会将配置文件“openssl.cfg”提取到 bin 目录中。为了让 OpenSSL 读取此配置文件,您必须通过在 DOS 提示符下运行以下命令来设置环境变量 SET OPENSSL_CONF=\openssl.cfg 例如 SET OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl。cfg 您从“openssl.exe”文件运行 OpenSSL,该文件位于 OpenSSL 安装的 \bin 目录中。在此目录中打开命令提示符窗口以运行它。如果双击 openssl.exe,它将在 DOS 命令窗口中打开。如果以这种方式启动 OpenSSL,则只需在命令窗口中输入 OpenSSL 函数的名称。例如,不要输入“openssl genrsa...”,而是输入“genrsa...”。一切准备就绪后,下一步就是按照说明生成 CSR 和 kyring 文件。您只需在命令窗口中输入 OpenSSL 函数的名称。例如,不要输入“openssl genrsa...”,而是输入“genrsa...”。一切准备就绪后,下一步就是按照说明生成 CSR 和 kyring 文件。您只需在命令窗口中输入 OpenSSL 函数的名称。例如,不要输入“openssl genrsa...”,而是输入“genrsa...”。一切准备就绪后,下一步就是按照说明生成 CSR 和 kyring 文件。
(步骤 1 到 6 应在任何安装了管理员客户端、OpenSSL 工具的工作站计算机上完成)以下是使用 SHA-2 证书设置 SSL 的步骤:
第 1 步:打开命令提示符并指向 OpenSSL 所在的路径并输入命令“openssl genrsa -out server.key 4096” 这将生成您输入的任何 RSA 密钥名称(在我的示例中它将创建一个“ c:\Openssl-win64\bin 上的 sampleserver.key")。您应该保留此文件,因为稍后在合并密钥文件上的证书时将需要此文件。这包含私钥。
第 2 步:生成证书签名请求 (CSR)
这里概述了一种方法
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=ECCC40A836DA3C1885257D99004BF9B0
但对我来说它不起作用 - 创建了环密钥并在测试时返回证书详细信息,但在部署时失败..这有点长但它确实有效
第 3 步:从第三方 CA 获取 SSL/TLS 证书。当您收到它时,请确保他们提供给您的证书包含根证书(在链之上)、中间证书(第二链)和站点证书(链的底部,通常命名为您在创建 CSR 时使用的 fqdn) . 在下面的屏幕截图中,用户信任是根证书用户信任 RSA 证书颁发机构和网络解决方案 OV 服务器 CA 2 是中间证书,domino1.chap-con.com 是站点证书如果您可以像我们一样提取它会很方便做过。指向您要提取的证书 -> 单击“查看证书” -> 转到“详细信息选项卡”。它将打开一个新的 krypto shell 窗口。转到该证书的“详细信息”选项卡,然后单击“复制到文件按钮”
第 4 步:我们必须在 kyrtool 上创建密钥文件。打开命令提示符并转到 KYRTOOL 所在的路径。通过我突出显示的命令创建密钥文件。
第 5 步:提取完所有证书后,我们将进行合并。以下是使用 kyrtool 合并证书时要遵循的正确顺序。
导入根
c:\Lotus\Notes>kyrtool 导入根 -i "C:\Path\root.crt" -k "C:\Path\keyring.kyr"
使用密钥环路径 'C:\Path\keyring.kyr' SEC_mpfct_ImportTrustRootToKYR 成功
c:\Lotus\Notes>kyrtool 导入根 -i "C:\Path\intermediate1.crt" -k "C:\Path\keyring.kyr"
使用密钥环路径 'C:\Path\keyring.kyr' SEC_mpfct_ImportTrustRootToKYR 成功
如果有 2 个中间证书也通过上面的命令进行合并,只需指明第二个中间证书的名称即可。
导入密钥(在 OPENSSL 步骤 1 上生成的 RSA 密钥)
c:\Lotus\Notes>kyrtool 导入密钥 -i "C:\Path\sampleserver.key" -k "C:\Path\keyring.kyr"
使用密钥环路径 'C:\Path\keyring.kyr' 成功读取 4096 位 RSA 私钥 SECIssUpdateKeyringPrivateKey 成功
进口现场证书
c:\Lotus\Notes>kyrtool 导入证书 -i "C:\Path\sitecertificate.crt" -k "C:\Path\keyring.kyr"
使用密钥环路径 'C:\Path\keyring.kyr' SEC_mpfct_ImportTrustRootToKYR 成功
第 6 步:如果合并成功,将 keyring.kyr 和 keyring.sth 复制到 Domino DATA 目录。第 7 步:转到您的服务器配置并更新 SSL 密钥文件名称。在您的服务器文档上 如果您有“从服务器/互联网站点文档加载 Internet 配置”,请转到“Web”选项卡 -> Internet 站点并打开您要修改的 Web 站点并打开它
我还必须在 Configuration > Server > Current Server Document > Ports > Internet Ports 处替换密钥环的名称
当您更新记录时
告诉http重启
您可以在以下位置测试邮件服务器
https://www.htbridge.com/ssl/
只要输入域名和端口,你应该会得到这样的结果