На коробке Server 2016 мы только что обновили его до PCI 3.1, что фактически удалило TLS 1.0 из шифра. Сценарий PowerShell, который отправлял электронное письмо после резервного копирования на наш сервер Domino 9.0.1 FP7, теперь дает сбой.
The client and server cannot communicate, because they do not possess a common algorithm
Журнал Domino показывает
[0B40:000A-09DC] 12/18/2016 07:20:21.57 AM SSLInitContext> User is forcing 0xC3C0A cipher spec bitmask for 9 ciphers
[0B40:000A-09DC] Checking keyfile certificates:
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSLCheckCertChain> Invalid certificate chain received
[0B40:000A-09DC] Cert Chain Evaluation Status: err: 3674, A certificate chain could not be constructed
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_TRUSTPOLICY> bits for signature hashes: 0010
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSLDisableExportCiphers> Disabling weak cipher RSA_WITH_DES_CBC_SHA. Set notes.ini "USE_WEAK_SSL_CIPHERS=1" to re-enable.
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSLDisableExportCiphers> Server key (4096 bits) too strong for EXPORT1024 ciphers. Disabling cipher RSA_EXPORT1024_WITH_DES_CBC_SHA
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM int_MapSSLError> Mapping SSL error 0 to 0 [SSLNoErr]
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake Enter>> Current Cipher Unknown Cipher (0x0000)
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake> outgoing ->protocolVersion: 0303
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> Enter len = 1
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> Switching Endpoint to sync
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> Posting a nti_rcv for 1 bytes
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_RcvSetup> SSL not init exit
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> Switching Endpoint to async
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> nti_done return 0 bytes rc = 9
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Read> nti_done return 0 bytes rc = 9 Event = 0x400
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSLSendAlert> Sending an alert of 0x0 (close_notify) level 0x2 (fatal)
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake> Changing SSL status from -6989 to -5000 to flush write queue
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake> After handshake state = SSLErrorClose (2); Status = -5000
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake> Exit Status = -5000
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM int_MapSSLError> Mapping SSL error -5000 to 4176 [SSLHandshakeNoDone]
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Handshake Enter>> Current Cipher Unknown Cipher (0x0000)
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM S_Write> Enter len = 7
[0B40:000A-09DC] 12/18/2016 07:20:21.59 AM SSL_Xmt> 00000000: 15 03 03 00 02 02 00
Я не уверен, связана ли проблема со сценарием или недостатком Domino.
Установка UseSSL на false разрешит соединение, но если другие электронные письма (клиенты) отклоняются по той же причине, и мы до сих пор не знали, что это необходимо решить.
Сервер Domino работает на компьютере 2008 R2
Любые указатели будут оценены
Спасибо
2008 Server требует, чтобы вы включили TLS 1.2 - есть раздел реестра, который вы можете добавить / отредактировать - он уже есть в 2012 году
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
создать новую папку TLS 1.2 добавьте под ним два новых ключа.
Client
Server
Новый DWORD (32-бит) DisabledByDefault
DisabledByDefault установлен в 0
Создать еще один DWORD Enabled.
Включено установлено на 1
Повторите для ключа сервера (создав два DWORD, DisabledByDefault и Enabled, и их значения под ключом сервера).
Перезагрузите сервер.
Теперь ваш сервер должен поддерживать TLS 1.2.
https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-windows-server-2008-r2.aspx