AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
21.01.22 - 05:41:21
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 10
| |-+  ND10: Administration & Userprobleme (Moderatoren: eknori, fritandr, koehlerbv, Tode)
| | |-+  Last error: SSL bad peer certificate. Connection refused.
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Last error: SSL bad peer certificate. Connection refused.  (Gelesen 2785 mal)
FriFra
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 396



« am: 26.05.20 - 10:19:37 »

Ich weiß, dazu gibt es hier schon einige Posts, aber die sind alle schon sehr alt und die entsprechenden Fixes sind nicht mehr aktuell.

Zur Zeit habe ich bei 2 Empfängern folgendes Problem:

Code:
[2FC4:0002-2C2C]     3 Retry( 1) SMTP  HOTMAIL.DE (Push)
[2FC4:0002-2C2C]                       Last error: SSL bad peer certificate. Connection refused.
[2FC4:0002-2C2C]                       Next retry: 26.05.2020 10:27:05


[2A7C:0012-065C] 26.05.2020 10:01:37   TLS/SSL connection ****** -> 104.47.4.36(25) failed with client certificates NOT supported by server signature algorithms
[2A7C:0012-065C] 26.05.2020 10:01:37   [2A7C:0012-065C] SMTPClient: SSL handshake error: 1C7Ah

Im Serverdokument ist bei SMTP Outbound Negotiated SSL Enabled


Hat eventuell hier jemand eine Idee, wo ich den Fehler suchen könnte?

Der Server ist übrigens: IBM Domino (r) Server (64 Bit) (Release 10.0.1 for Windows/64)
« Letzte Änderung: 26.05.20 - 10:25:55 von FriFra » Gespeichert

Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?
Manfred W.
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 148



« Antworten #1 am: 26.05.20 - 13:07:15 »

Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.
Gespeichert
FriFra
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 396



« Antworten #2 am: 26.05.20 - 14:29:44 »

Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.

Wo genau stelle ich denn die Ciphers am Domino ein? Für den Web-Zugriff hab ich nen Apache davor, da weiß ich wo... der http macht bei mir z.B. kein ssl... Hier tritt der Domino/Router-Task aber doch als Client auf, da hab ich keine Ahnung, wo man dafür die Ciphers konfigurieren kann.
Gespeichert

Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?
stoeps
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 817


It's your life, so live it your way.


WWW
« Antworten #3 am: 26.05.20 - 17:30:42 »

Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.
Gespeichert

--
Grüsse
Christoph
FriFra
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 396



« Antworten #4 am: 27.05.20 - 05:57:33 »

Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.

Das Problem betrifft keine eingehenden Mails, sondern ausgehende und da greift doch der keyring garnicht. Bei ausgehenden Mails muss der Client im Grunde ja nur mit den Ciphers der Gegenstelle umgehen können, de hier doch die Verschlüsselung mit dem Server ausgehandelt wird. Eingehende Mails laufen bei mir über einen Anti-Spam-Gateway und da gibt es keine Probleme.
Gespeichert

Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?
stoeps
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 817


It's your life, so live it your way.


WWW
« Antworten #5 am: 27.05.20 - 06:41:55 »

Ja, da war es wohl gestern zu früh. Wink Sorry

https://port1352.wordpress.com/2018/12/28/ssl-breaks-after-upgrading-to-domino-10-0-1/

Prüf mal die aktiven cipher. Hotmail nutzt die smtp Server der Domain outlook.com, die unterstützen TLS 1.2 damit sollte 10.0.1 umgehen können.
Gespeichert

--
Grüsse
Christoph
DomAdm
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 330

Ich liebe dieses Forum!


« Antworten #6 am: 27.05.20 - 08:34:46 »

Hallo,

ich habe mit openssl geprüft:

openssl s_client -connect 104.47.4.36:25 -starttls smtp

Certificate chain
 0 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=mail.protection.outlook.com
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
 1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384


Am besten auf dem Domino das Debugging aktivieren und eine Testmail senden.
notes.ini Parameter dafür:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0039950
oder
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0069563

Enable the below debug parameters on the affected SMTP Domino outbound server.

DEBUG_SSL_CIPHERS=2
DEBUG_SSL_ALL=3
SSL_TRACE_KEYFILEREAD=1
DEBUG_SLL_HANDSHAKE=2
Gespeichert

Jacob
FriFra
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 396



« Antworten #7 am: 28.05.20 - 09:39:14 »

Das Problem konnte jetzt mit einem Eintrag in der notes.ini beseitigt werden:
Code:
ROUTERFALLBACKNONTLS=1
Gespeichert

Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?
Manfred W.
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 148



« Antworten #8 am: 28.05.20 - 12:44:33 »

Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...
Gespeichert
FriFra
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 396



« Antworten #9 am: 05.06.20 - 12:54:40 »

Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...

Es nützt ja nichts, wenn der Empfänger nicht in der Lage ist ein korrektes nicht abgelaufenes Zertifikat auf seinen Server zu packen. Ich habe alle betroffenen Server gecheckt und in allen Fällen lag das Problem beim Empfänger. Ich kann mich nicht um deren Zertifikate kümmern. Es ist in dem Fall besser unverschlüsselt zu senden als garnichts. Was wäre denn die Alternative in dem Fall? Ein Fax senden?
Gespeichert

Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: