Das Notes Forum

Lotus Notes / Domino 10 => ND10: Administration & Userprobleme => Thema gestartet von: FriFra am 26.05.20 - 10:19:37

Titel: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: FriFra am 26.05.20 - 10:19:37
Ich weiß, dazu gibt es hier schon einige Posts, aber die sind alle schon sehr alt und die entsprechenden Fixes sind nicht mehr aktuell.

Zur Zeit habe ich bei 2 Empfängern folgendes Problem:

Code
[2FC4:0002-2C2C]     3 Retry( 1) SMTP  HOTMAIL.DE (Push)
[2FC4:0002-2C2C]                       Last error: SSL bad peer certificate. Connection refused.
[2FC4:0002-2C2C]                       Next retry: 26.05.2020 10:27:05


[2A7C:0012-065C] 26.05.2020 10:01:37   TLS/SSL connection ****** -> 104.47.4.36(25) failed with client certificates NOT supported by server signature algorithms
[2A7C:0012-065C] 26.05.2020 10:01:37   [2A7C:0012-065C] SMTPClient: SSL handshake error: 1C7Ah

Im Serverdokument ist bei SMTP Outbound Negotiated SSL Enabled


Hat eventuell hier jemand eine Idee, wo ich den Fehler suchen könnte?

Der Server ist übrigens: IBM Domino (r) Server (64 Bit) (Release 10.0.1 for Windows/64)
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: Manfred W. am 26.05.20 - 13:07:15
Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: FriFra am 26.05.20 - 14:29:44
Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.

Wo genau stelle ich denn die Ciphers am Domino ein? Für den Web-Zugriff hab ich nen Apache davor, da weiß ich wo... der http macht bei mir z.B. kein ssl... Hier tritt der Domino/Router-Task aber doch als Client auf, da hab ich keine Ahnung, wo man dafür die Ciphers konfigurieren kann.
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: stoeps am 26.05.20 - 17:30:42
Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: FriFra am 27.05.20 - 05:57:33
Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.

Das Problem betrifft keine eingehenden Mails, sondern ausgehende und da greift doch der keyring garnicht. Bei ausgehenden Mails muss der Client im Grunde ja nur mit den Ciphers der Gegenstelle umgehen können, de hier doch die Verschlüsselung mit dem Server ausgehandelt wird. Eingehende Mails laufen bei mir über einen Anti-Spam-Gateway und da gibt es keine Probleme.
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: stoeps am 27.05.20 - 06:41:55
Ja, da war es wohl gestern zu früh. ;) Sorry

https://port1352.wordpress.com/2018/12/28/ssl-breaks-after-upgrading-to-domino-10-0-1/

Prüf mal die aktiven cipher. Hotmail nutzt die smtp Server der Domain outlook.com, die unterstützen TLS 1.2 damit sollte 10.0.1 umgehen können.
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: DomAdm am 27.05.20 - 08:34:46
Hallo,

ich habe mit openssl geprüft:

openssl s_client -connect 104.47.4.36:25 -starttls smtp

Certificate chain
 0 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=mail.protection.outlook.com
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
 1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384


Am besten auf dem Domino das Debugging aktivieren und eine Testmail senden.
notes.ini Parameter dafür:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0039950
oder
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0069563

Enable the below debug parameters on the affected SMTP Domino outbound server.

DEBUG_SSL_CIPHERS=2
DEBUG_SSL_ALL=3
SSL_TRACE_KEYFILEREAD=1
DEBUG_SLL_HANDSHAKE=2
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: FriFra am 28.05.20 - 09:39:14
Das Problem konnte jetzt mit einem Eintrag in der notes.ini beseitigt werden:
Code
ROUTERFALLBACKNONTLS=1
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: Manfred W. am 28.05.20 - 12:44:33
Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...
Titel: Re: Last error: SSL bad peer certificate. Connection refused.
Beitrag von: FriFra am 05.06.20 - 12:54:40
Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...

Es nützt ja nichts, wenn der Empfänger nicht in der Lage ist ein korrektes nicht abgelaufenes Zertifikat auf seinen Server zu packen. Ich habe alle betroffenen Server gecheckt und in allen Fällen lag das Problem beim Empfänger. Ich kann mich nicht um deren Zertifikate kümmern. Es ist in dem Fall besser unverschlüsselt zu senden als garnichts. Was wäre denn die Alternative in dem Fall? Ein Fax senden?