У нас есть 1 пользователь Mac (osx 10.11.1), использующий Outlook 2016, и он пытается подключиться к нашему серверу Exchange 2013 (версия 15.0, сборка 847.32). После создания учетной записи в Outlook рядом с учетной записью остается желтая точка.
Для диагностики мы убедились, что наш корневой сертификат добавлен к доверенным сертификатам в системной цепочке ключей на Mac, и мы проверили, что клиент может согласовывать / принимать сертификат:
openssl s_client -CApath ~ / myca.cer -connect www.example.com:443
Мы можем перейти на нашу биржу www.example.com/owa с Mac, и все работает нормально. Но по какой-то причине клиент Mac не будет создавать / проверять учетную запись. Можно ли сделать еще один шаг диагностики, чтобы решить эту проблему?
ОБНОВЛЕНИЕ: на сервере обмена я вижу события 36874 и 36888 с текстом:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
Как я могу гарантировать, что они договорились о взаимоприемлемом наборе шифров?
После долгих исследований Mac не может согласовать набор шифров с сервером Windows. Причина в том, что они используют TLS 1.2, а сертификат подписан 512-битным SHA. Mac / Windows не может обрабатывать сертификат, подписанный 512-битным SHA (через TLS1.2), поэтому пара прерывает рукопожатие. Повторная установка 384-битного сертификата, подписанного SHA, на сервере Windows позволила Mac подключиться.
Корневой сертификат может быть подписан SHA512, но не сертификатом сервера.