Domino 9.0.1 FP5 - сбой сообщений от Google и связанных с ним - Пользователь принудительно устанавливает битовую маску спецификации шифра 0x3FFC02 для 13 шифров

Оказывается, проблема связана с установкой сертификата SHA-2. Если кто-то еще испытывает ту же проблему, напишите комментарий, и я могу пройти всю процедуру :-)

В соответствии с просьбой, вот полная процедура, с особой благодарностью поддержке IBM :-)

Вот ссылка на IBM http://www-01.ibm.com/support/docview.wss?uid=swg21268695

Чтобы реализовать сертификат SHA-2 на вашем сервере Domino, вы должны сначала иметь эти предварительные условия.

1: Загрузите и установите KYRTool на том же клиенте Domino Administrator, упомянутом в шаге 1, поместив W32 kyrtool.exe в каталог программы Notes. Обратитесь к вики-статьям, указанным ниже, для получения инструкций по установке и запуску KYRTool. KYRTool может обрабатывать сертификаты SHA-2.

KYRTool Ссылка для скачивания: http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer

Поместите KYRTool в каталог программы Notes, поскольку он полагается на .DLL, установленные Notes. Если у вас есть программный каталог Notes / Domino в системной переменной среды PATH, его можно установить в любой каталог.

2: Прежде чем начать, обратите внимание на следующую информацию о запуске KYRTool & OpenSSL. Если у вас есть параметр командной строки с пробелами в нем, например путь к файлу, пробел может привести к неправильному чтению командной строки, что приведет к ошибкам. . Это может повлиять на выполнение команд как для OpenSSL, так и для KYRTool. Чтобы включить в параметр пробел, параметр должен быть разделен кавычками. Например, если Notes были установлены в каталог Program Files, то командная строка для создания связки ключей может выглядеть так: kyrtool = "c: \ Program Files \ IBM \ Notes \ notes.ini" create -k "c: \ Program Files \ IBM \ Notes \ data \ keyring.kyr "-p пароль

3: OpenSSL Ссылки для скачивания версий OpenSSL для Windows доступны на https://slproweb.com/products/Win32OpenSSL.html Облегченной версии OpenSSL достаточно для задач, необходимых для создания сертификата SHA-2. v1.0.2k - это последний рекомендованный выпуск на сегодняшний день. Если вы используете Windows 7. Можно использовать 32-разрядную или 64-разрядную версию. OpenSSL может потребовать обновления библиотек Windows Visual C ++. Если библиотеки не обновлены, во время установки OpenSSL отобразится запрос о том, что необходимы обновленные библиотеки Visual C ++. Ссылки для загрузки этих библиотек также есть на странице загрузки OpenSSL. Файл конфигурации «openssl.cfg» будет извлечен программой установки в каталог bin. Чтобы OpenSSL мог прочитать этот файл конфигурации, вы должны установить переменную среды, выполнив следующую команду из приглашения DOS SET OPENSSL_CONF = \ openssl.cfg, например. SET OPENSSL_CONF = c: \ OpenSSL-Win64 \ bin \ openssl.cfg Вы запускаете OpenSSL из файла «openssl.exe», который находится в каталоге \ bin установки OpenSSL. Откройте окно командной строки в этом каталоге, чтобы запустить его. Если вы дважды щелкните openssl.exe, он откроется в командном окне DOS. Если вы запускаете OpenSSL таким образом, вы вводите только имя функции OpenSSL в командном окне. Например, вместо ввода «openssl genrsa ...» вы должны ввести «genrsa ...». Когда у вас все будет готово, следующим шагом будет следовать инструкциям по созданию CSR и файла kyring.

(Шаги с 1 по 6 следует выполнить на любой рабочей станции, на которой установлен клиент администратора и инструмент OpenSSL) Вот шаги для настройки SSL с сертификатами SHA-2:

Шаг 1. Откройте командную строку и укажите путь, по которому расположен OpenSSL, и введите команду «openssl genrsa -out server.key 4096». Это сгенерирует любое имя ключа RSA, которое вы ввели (в моем примере он создаст " sampleserver.key "на c: \ Openssl-win64 \ bin). Вы должны сохранить это, потому что вам позже понадобится этот файл, когда вы будете объединять сертификат в ключевом файле. Он содержит закрытый ключ.

Шаг 2. Создайте запрос на подпись сертификата (CSR)

• Введите общее имя, штат, страну
• Создать с использованием SHA-2
• Вы должны соответствовать имени вашего ключа RSA (тот, который мы создали на шаге 1) и имени файла CSR (в моем примере я также использовал «sampleserver», поскольку мое имя CSR просто поместило «.csr»,) Эта команда сгенерирует ваш файл CSR, и это тот файл, который вы отправите в свой центр сертификации, чтобы они могли запросить сертификат.

Здесь описан метод

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=ECCC40A836DA3C1885257D99004BF9B0

но для меня это не сработало - создал кольцевой ключ, и при тестировании он вернулся с деталями сертификата, но потерпел неудачу при развертывании .. это немного дольше, но это работает

Шаг 3. Получите сертификат SSL / TLS от стороннего центра сертификации. Когда вы его получили, убедитесь, что предоставленные вами сертификаты содержат корневой сертификат (над цепочкой), промежуточный сертификат (вторая цепочка) и сертификат сайта (нижняя часть цепочки, обычно называемая как fqdn, который вы использовали при создании CSR). . На скриншоте ниже доверие пользователя - это корневой сертификат. Доверие пользователя. Центр сертификации RSA, и Network Solutions OV Server CA 2 - промежуточные сертификаты, а domino1.chap-con.com - это сертификат сайта. Было бы удобно, если бы вы могли извлечь его, как мы. сделал. Наведите курсор на сертификат, который вы хотите извлечь -> нажмите «просмотреть сертификат» -> перейдите на «вкладку сведений». откроется новое окно оболочки крипто. Перейдите на вкладку «Сведения» этого сертификата, нажмите кнопку «Копировать в файл» и используйте BASE 64. Затем сохраните его.

Шаг 4: Мы должны создать ключевой файл на kyrtool. Откройте командную строку и перейдите по пути, по которому находится ваш KYRTOOL. Создайте ключевой файл с помощью выделенной мной команды.

Шаг 5: Как только вы извлечете весь сертификат, мы выполним слияние. Ниже приведен правильный порядок объединения сертификатов с помощью kyrtool.

ИМПОРТ КОРНЕЙ

c: \ Lotus \ Notes> kyrtool import root -i "C: \ Path \ root.crt" -k "C: \ Path \ keyring.kyr"

Использование пути к связке ключей 'C: \ Path \ keyring.kyr' SEC_mpfct_ImportTrustRootToKYR выполнено успешно

c: \ Lotus \ Notes> kyrtool import root -i "C: \ Path \ intermediate1.crt" -k "C: \ Path \ keyring.kyr"

Использование пути к связке ключей 'C: \ Path \ keyring.kyr' SEC_mpfct_ImportTrustRootToKYR выполнено успешно

если есть 2 промежуточных сертификата, объедините их также с помощью приведенной выше команды, просто укажите имя второго промежуточного сертификата.

КЛЮЧ ИМПОРТА (КЛЮЧ RSA, Сгенерированный НА ШАГЕ 1 OPENSSL)

c: \ Lotus \ Notes> kyrtool import keys -i "C: \ Path \ sampleserver.key" -k "C: \ Path \ keyring.kyr"

Использование пути к связке ключей 'C: \ Path \ keyring.kyr' Успешно прочитано 4096-битный закрытый ключ RSA SECIssUpdateKeyringPrivateKey успешно

СЕРТИФИКАТ САЙТА ИМПОРТА

c: \ Lotus \ Notes> сертификаты импорта kyrtool -i "C: \ Path \ sitecertificate.crt" -k "C: \ Path \ keyring.kyr"

Использование пути к связке ключей 'C: \ Path \ keyring.kyr' SEC_mpfct_ImportTrustRootToKYR выполнено успешно

Шаг 6: Если слияние прошло успешно, скопируйте файлы keyring.kyr и keyring.sth в каталог Domino DATA. Шаг 7: Перейдите в конфигурацию вашего сервера и обновите имя файла ключей SSL. На вашем сервере документ Если у вас есть «Загрузить конфигурации Интернета из документов сервера / веб-сайтов», перейдите на вкладку «Интернет» -> Интернет-сайты и откройте веб-сайт, который вы хотите изменить, и откройте его.

Мне также пришлось заменить имя связки ключей в Configuration> Server> Current Server Document> Ports> Internet Ports.

Когда вы обновили записи

сообщить http перезапуск

Вы можете протестировать почтовый сервер на

https://www.htbridge.com/ssl/

Просто введите имя домена и порт, вы должны получить такой результат