Domino 9.0.1 FP5 - 來自 Google 和連結的消息失敗 - 使用者強制 0x3FFC02 密碼規範位遮罩用於 13 個密碼

March 26, 2017

我們剛剛從 Domino 8.5 升級到 9.0.1 FP5，現在 google/linked in，也許其他人無法連接

[0A44:0015-0618] 03/19/2016 12:50:52.14 PM SSLInitContext&gt; User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:50:52.14 PM int_MapSSLError&gt; Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:50:52 PM  SMTP Server: maile-ce.linkedin.com (108.174.6.197) connected
[0A44:0015-0618] 03/19/2016 12:50:52 PM  SMTP Server: maile-ce.linkedin.com (108.174.6.197) disconnected. 0 message[s] received




[0A44:0015-0618] 03/19/2016 12:36:11.86 PM SSLInitContext&gt; User is forcing 0x3FFC02 cipher spec bitmask for 13 ciphers
[0A44:0015-0618] 03/19/2016 12:36:11.87 PM int_MapSSLError&gt; Mapping SSL error -6982 to 4162 [X509DataNotFoundErr]
[0A44:0015-0128] 03/19/2016 12:36:11 PM  SMTP Server: mail-oi0-f47.google.com (209.85.218.47) connected
[0A44:0015-0618] 03/19/2016 12:36:11 PM  SMTP Server: mail-oi0-f47.google.com (209.85.218.47) disconnected. 0 message[s] received

也無法通過 https 與瀏覽器連接：-

[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLProcessServerHello&gt; Server chose cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006B)
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM FindCipherSpec&gt; Cipher spec DHE_RSA_WITH_AES_256_CBC_SHA256 (107) is not supported with TLS1.0
[09EC:0023-0654] 03/18/2016 12:37:09.69 PM SSLSendAlert&gt; Sending an alert of 0x2F (illegal_parameter) level 0x2 (fatal)

在這裡把我的頭撞在眾所周知的牆上，所以任何指針都將不勝感激:-)

原來問題與安裝 SHA-2 證書有關。如果其他人遇到同樣的問題發表評論我可以執行整個過程:-)
此處要求提供完整程序，特別感謝 IBM 支持 :-)
這是 IBM http://www-01.ibm.com/support/docview.wss?uid=swg21268695的連結
要在 Domino 伺服器上實施 SHA-2 證書，您首先必須具備這些先決條件。
1：通過將 W32 kyrtool.exe 放在 Notes 程序目錄中，在步驟 1 中引用的同一 Domino Administrator 客戶端上下載並安裝 KYRTool。有關安裝和執行 KYRTool 的說明，請參閱下面連結的 wiki 文章。KYRTool 能夠處理 SHA-2 證書。
KYRTool 下載連結：http ://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer
將 KYRTool 放在 Notes 程序目錄中，因為它依賴於 Notes 安裝的 .DLL。如果系統的 PATH 環境變數中有 Notes/Domino 程序目錄，則可以將其安裝到任何目錄。
2：開始之前，請注意以下關於執行KYRTool & OpenSSL的資訊如果命令行參數中有空格，比如文件的路徑，空格會導致命令行讀取錯誤，從而導致錯誤. 這會影響 OpenSSL 和 KYRTool 的執行命令要在參數中包含空格，必須用引號將參數分隔。例如，如果 Notes 安裝在 Program Files 目錄中，則用於創建密鑰環的命令行可能如下所示：kyrtool =“c:\Program Files\IBM\Notes\notes.ini” create -k “c:\ Program Files\IBM\Notes\data\keyring.kyr” -p 密碼
3：OpenSSL Windows 版本的 OpenSSL 下載連結位於https://slproweb.com/products/Win32OpenSSL.html OpenSSL 的輕量級版本足以完成創建 SHA-2 證書所需的任務。v1.0.2k 是截至今天的最新推薦版本。如果您使用的是 Windows 7，則可以使用 32 位或 64 位版本。OpenSSL 可能需要更新 Windows Visual C++ 庫。如果庫不是最新的，在 OpenSSL 安裝期間將顯示提示，指出需要更新的 Visual C++ 庫。下載這些庫的連結也在 OpenSSL 的下載頁面上。安裝程序會將配置文件“openssl.cfg”提取到 bin 目錄中。為了讓 OpenSSL 讀取此配置文件，您必須通過在 DOS 提示符下執行以下命令來設置環境變數 SET OPENSSL_CONF=\openssl.cfg 例如 SET OPENSSL_CONF=c:\OpenSSL-Win64\bin\openssl。cfg 您從“openssl.exe”文件執行 OpenSSL，該文件位於 OpenSSL 安裝的 \bin 目錄中。在此目錄中打開命令提示符視窗以執行它。如果點兩下 openssl.exe，它將在 DOS 命令視窗中打開。如果以這種方式啟動 OpenSSL，則只需在命令視窗中輸入 OpenSSL 函式的名稱。例如，不要輸入“openssl genrsa…”，而是輸入“genrsa…”。一切準備就緒後，下一步就是按照說明生成 CSR 和 kyring 文件。您只需在命令視窗中輸入 OpenSSL 函式的名稱。例如，不要輸入“openssl genrsa…”，而是輸入“genrsa…”。一切準備就緒後，下一步就是按照說明生成 CSR 和 kyring 文件。您只需在命令視窗中輸入 OpenSSL 函式的名稱。例如，不要輸入“openssl genrsa…”，而是輸入“genrsa…”。一切準備就緒後，下一步就是按照說明生成 CSR 和 kyring 文件。
（步驟 1 到 6 應在任何安裝了管理員客戶端、OpenSSL 工具的工作站電腦上完成）以下是使用 SHA-2 證書設置 SSL 的步驟：
第 1 步：打開命令提示符並指向 OpenSSL 所在的路徑並輸入命令“openssl genrsa -out server.key 4096” 這將生成您輸入的任何 RSA 密鑰名稱（在我的範例中它將創建一個“ c:\Openssl-win64\bin 上的 sampleserver.key")。您應該保留此文件，因為稍後在合併密鑰文件上的證書時將需要此文件。這包含私鑰。
第 2 步：生成證書籤名請求 (CSR)
輸入通用名稱、州、國家
使用 SHA-2 創建
您應該與您的 RSA 密鑰的名稱（我們在步驟 1 中生成的那個）和 CSR 文件的名稱保持一致（在我的範例中，我還使用“sampleserver”作為我的 CSR 名稱，只需輸入“.csr”，）此命令將生成您的 CSR 文件，該文件是您將發送給您的 CA 的文件，以便他們可以請求證書。
這裡概述了一種方法
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=ECCC40A836DA3C1885257D99004BF9B0
但對我來說它不起作用 - 創建了環密鑰並在測試時返回證書詳細資訊，但在部署時失敗..這有點長但它確實有效
第 3 步：從第三方 CA 獲取 SSL/TLS 證書。當您收到它時，請確保他們提供給您的證書包含根證書（在鏈之上）、中間證書（第二鏈）和站點證書（鏈的底部，通常命名為您在創建 CSR 時使用的 fqdn） . 在下面的螢幕截圖中，使用者信任是根證書使用者信任 RSA 證書頒發機構和網路解決方案 OV 伺服器 CA 2 是中間證書，domino1.chap-con.com 是站點證書如果您可以像我們一樣提取它會很方便做過。指向您要提取的證書 -> 點擊“查看證書” -> 轉到“詳細資訊選項卡”。它將打開一個新的 krypto shell 視窗。轉到該證書的“詳細資訊”選項卡，然後點擊“複製到文件按鈕”
第 4 步：我們必須在 kyrtool 上創建密鑰文件。打開命令提示符並轉到 KYRTOOL 所在的路徑。通過我突出顯示的命令創建密鑰文件。
第 5 步：提取完所有證書後，我們將進行合併。以下是使用 kyrtool 合併證書時要遵循的正確順序。
導入根
c:\Lotus\Notes>kyrtool 導入根 -i “C:\Path\root.crt” -k “C:\Path\keyring.kyr”
使用密鑰環路徑 ‘C:\Path\keyring.kyr’ SEC_mpfct_ImportTrustRootToKYR 成功
c:\Lotus\Notes>kyrtool 導入根 -i “C:\Path\intermediate1.crt” -k “C:\Path\keyring.kyr”
使用密鑰環路徑 ‘C:\Path\keyring.kyr’ SEC_mpfct_ImportTrustRootToKYR 成功
如果有 2 個中間證書也通過上面的命令進行合併，只需指明第二個中間證書的名稱即可。
導入密鑰（在 OPENSSL 步驟 1 上生成的 RSA 密鑰）
c:\Lotus\Notes>kyrtool 導入密鑰 -i “C:\Path\sampleserver.key” -k “C:\Path\keyring.kyr”
使用密鑰環路徑 ‘C:\Path\keyring.kyr’ 成功讀取 4096 位 RSA 私鑰 SECIssUpdateKeyringPrivateKey 成功
進口現場證書
c:\Lotus\Notes>kyrtool 導入證書 -i “C:\Path\sitecertificate.crt” -k “C:\Path\keyring.kyr”
使用密鑰環路徑 ‘C:\Path\keyring.kyr’ SEC_mpfct_ImportTrustRootToKYR 成功
第 6 步：如果合併成功，將 keyring.kyr 和 keyring.sth 複製到 Domino DATA 目錄。第 7 步：轉到您的伺服器配置並更新 SSL 密鑰文件名稱。在您的伺服器文件上如果您有“從伺服器/網際網路站點文件載入 Internet 配置”，請轉到“Web”選項卡 -> Internet 站點並打開您要修改的 Web 站點並打開它
我還必須在 Configuration > Server > Current Server Document > Ports > Internet Ports 處替換密鑰環的名稱
當您更新記錄時
告訴http重啟
您可以在以下位置測試郵件伺服器
https://www.htbridge.com/ssl/
只要輸入域名和埠，你應該會得到這樣的結果