Outlook 2010 will nicht via IMAPs mit Domino connecten

[(h)uMan]

Hallo,

auf den Domino Servern ist IMAPs (Port 993) aktiv. Wir nutzen offizielle (gekaufte) SSL Zertifikate mit 2048bit Verschlüsselung.

Leider können Nutzer mit Outlook 2010 nicht via IMAPs mit den Domino Servern connecten. Outlook Fehler "ERROR: "Es kann keine sichere Verbindung mit dem Server hergestellt werden.", hr=2148322330".
Die SSL Zertifkate sind über den IE in den Windows Zertifikatsspeicher importiert, SSL und TLS in den IE Optionen aktiviert.

Mit Thunderbird und anderen IMAP Clients funktionierts ohne Probleme.

Google konnte mir bisher nicht helfen. Hat jemand eine Idee?

Domino Server SSL Konfiguaration:
SSL key file name: keyfile.kyr
SSL protocol version (for use with all protocols except HTTP):   Negotiated
Accept SSL site certificates: Yes
Accept expired SSL certificates: No
SSL ciphers:
Triple DES encryption with 168-bit key and SHA-1 MAC
AES encryption with 128-bit key and SHA-1MAC
AES encryption with 256-bit key and SHA-1 MAC
Enable SSL V2: No

Internet Ports Mail Konfiguration:
TCP/IP port number: 143
TCP/IP port status:   Disabled
Enforce server access settings: Yes
Authentication options:   
   Name & password: No
   Anonymous:   N/A
SSL port number: 993
SSL port status: Enabled
Authentication options:   
   Client certificate: Yes
   Name & password: Yes
   Anonymous: N/A

[Tode]

und "keyfile.kyr" enthält die gekauften Zertifikate inklusive alle Stamm- und ggf. notwendigen Zwischenzertifizierungsstellen?

[(h)uMan]

sollte so sein. Wie kann ich das nachträglich verifizieren?

[Tode]

ja, indem Du mit der certsrv.nsf die keyfile.kyr öffnest (vorher vom Server kopieren)... Dann kannst Du Dir die Zertifikate und alles anschauen...

[(h)uMan]

Das Root Zertifikat ist drin, aber es könnten zwei Zwischenzertifikate fehlen.

Kann ich diese einfach über "Install Trusted Root Certificate" und Angabe der relevanten .crt Dateien mit "Merge Trusted Root Certificate into Key Ring" nachträglich hinzufügen?

[Tode]

Ja, das kannst Du. Aber eigentlich müsste da beim importieren des Zertifikats ein Hinweis gekommen sein, dass die Zertifikatskette nicht vollständig ist... Ich weiss, dass MS- Produkte bei sowas sehr penibel sind, während andere das einfach mit einer Warnung oder ganz ohne Hinweis hinnehmen...

[(h)uMan]

es sind (doch) alle erforderlichen Zertifikate in der keyfile.kyr. Ein Import war jeweils nicht möglich, da Zertifikat bereits enthalten ;-)

Outlook weigert sich weiterhin. Noch eine Idee?

[Tode]

Ne, sorry, ne andere Idee habe ich aktuell nicht... Jemand anderes vielleicht?

[m3]

Internet Ports Mail Konfiguration:
TCP/IP port number: 143
TCP/IP port status:   Disabled

Du möchtest SSL ev. aktivieren?

[Tode]

ähm... Brille noch nicht geputzt :

SSL port number: 993
SSL port status: Enabled

es ist also NUR der SSL- Port aktiviert...

[m3]

ARGL. Sorry. 

[(h)uMan]

Outlook starten und Konto via IMAPs abfragen ergibt Fehler wie im ersten Posting beschrieben.

In der Windows Ereignisanzeige wird unter System folgender Fehler angezeigt:

Quelle: Schannel
Ereigns-ID: 36874
Eine SSL 3.0-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.

Bedeutet wahrscheinlich:
An SSL connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.

Quelle: Schannel
Ereigns-ID: 36888
Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 107.
Bedeutet wahrscheinlich:
handshake_failure. Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error.


Welche Cipher Verschlüsselung und Handshake Verfahren werden wohl standardmäßig unter Windows 7 genutzt bzw. wie kann ich die erforderlichen aktivieren?

[Tode]

Kuck mal per gpedit.msc nach:

1. Open your group policy editor by entering gpedit.msc at a command prompt.
2. Choose Computer Configuration | Administrative Templates | Network | SSL Configuration Settings.
3. There’s only one item here: SSL Cipher Suite Order. Open it.

[(h)uMan]

Wenn in der Windows Registry TLS 1.0 deaktiviert wird, kann Outlook via IMAPs mit Domino connecten:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000


Allerdings sind dann wohl Probleme mit anderen Diensten zu erwarten, die explizit TSL 1.0 benötigen.

Würde es helfen, Domino-seitig den IBM IHS (IBM Webserver) zu aktivieren, der ja die Unterstützung von TLS beinhaltet?