Autor Thema: Last error: SSL bad peer certificate. Connection refused.  (Gelesen 3253 mal)

Offline FriFra

  • Senior Mitglied
  • ****
  • Beiträge: 397
  • Geschlecht: Männlich
Ich weiß, dazu gibt es hier schon einige Posts, aber die sind alle schon sehr alt und die entsprechenden Fixes sind nicht mehr aktuell.

Zur Zeit habe ich bei 2 Empfängern folgendes Problem:

Code
[2FC4:0002-2C2C]     3 Retry( 1) SMTP  HOTMAIL.DE (Push)
[2FC4:0002-2C2C]                       Last error: SSL bad peer certificate. Connection refused.
[2FC4:0002-2C2C]                       Next retry: 26.05.2020 10:27:05


[2A7C:0012-065C] 26.05.2020 10:01:37   TLS/SSL connection ****** -> 104.47.4.36(25) failed with client certificates NOT supported by server signature algorithms
[2A7C:0012-065C] 26.05.2020 10:01:37   [2A7C:0012-065C] SMTPClient: SSL handshake error: 1C7Ah

Im Serverdokument ist bei SMTP Outbound Negotiated SSL Enabled


Hat eventuell hier jemand eine Idee, wo ich den Fehler suchen könnte?

Der Server ist übrigens: IBM Domino (r) Server (64 Bit) (Release 10.0.1 for Windows/64)
« Letzte Änderung: 26.05.20 - 10:25:55 von FriFra »
Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?

Offline Manfred W.

  • Aktives Mitglied
  • ***
  • Beiträge: 149
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #1 am: 26.05.20 - 13:07:15 »
Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.

Offline FriFra

  • Senior Mitglied
  • ****
  • Beiträge: 397
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #2 am: 26.05.20 - 14:29:44 »
Welche SSL Cipher sind denn am Domino Server aktiv?

SSL Handshake error könnte darauf hindeuten, dass die Server keine gemeinsamen Cipher zur Verfügung haben.

Wo genau stelle ich denn die Ciphers am Domino ein? Für den Web-Zugriff hab ich nen Apache davor, da weiß ich wo... der http macht bei mir z.B. kein ssl... Hier tritt der Domino/Router-Task aber doch als Client auf, da hab ich keine Ahnung, wo man dafür die Ciphers konfigurieren kann.
Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 818
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #3 am: 26.05.20 - 17:30:42 »
Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.
--
Grüsse
Christoph

Offline FriFra

  • Senior Mitglied
  • ****
  • Beiträge: 397
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #4 am: 27.05.20 - 05:57:33 »
Hast du denn nen Keyring am Domino? Selfsigned Certifificate oder gekauft? Ohne Zertifikat kein TLS und ich bin mir ziemlich sicher, daß Hotmail keine Mails ohne TLS zuläßt.

Domino Version wäre interessant, da Ciphers in <10 per notes.ini und erst danach im names.nsf konfiguriert werden.

Das Problem betrifft keine eingehenden Mails, sondern ausgehende und da greift doch der keyring garnicht. Bei ausgehenden Mails muss der Client im Grunde ja nur mit den Ciphers der Gegenstelle umgehen können, de hier doch die Verschlüsselung mit dem Server ausgehandelt wird. Eingehende Mails laufen bei mir über einen Anti-Spam-Gateway und da gibt es keine Probleme.
Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 818
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #5 am: 27.05.20 - 06:41:55 »
Ja, da war es wohl gestern zu früh. ;) Sorry

https://port1352.wordpress.com/2018/12/28/ssl-breaks-after-upgrading-to-domino-10-0-1/

Prüf mal die aktiven cipher. Hotmail nutzt die smtp Server der Domain outlook.com, die unterstützen TLS 1.2 damit sollte 10.0.1 umgehen können.
--
Grüsse
Christoph

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 345
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #6 am: 27.05.20 - 08:34:46 »
Hallo,

ich habe mit openssl geprüft:

openssl s_client -connect 104.47.4.36:25 -starttls smtp

Certificate chain
 0 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=mail.protection.outlook.com
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
 1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G3
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384


Am besten auf dem Domino das Debugging aktivieren und eine Testmail senden.
notes.ini Parameter dafür:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0039950
oder
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0069563

Enable the below debug parameters on the affected SMTP Domino outbound server.

DEBUG_SSL_CIPHERS=2
DEBUG_SSL_ALL=3
SSL_TRACE_KEYFILEREAD=1
DEBUG_SLL_HANDSHAKE=2
Jacob

Offline FriFra

  • Senior Mitglied
  • ****
  • Beiträge: 397
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #7 am: 28.05.20 - 09:39:14 »
Das Problem konnte jetzt mit einem Eintrag in der notes.ini beseitigt werden:
Code
ROUTERFALLBACKNONTLS=1
Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?

Offline Manfred W.

  • Aktives Mitglied
  • ***
  • Beiträge: 149
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #8 am: 28.05.20 - 12:44:33 »
Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...

Offline FriFra

  • Senior Mitglied
  • ****
  • Beiträge: 397
  • Geschlecht: Männlich
Re: Last error: SSL bad peer certificate. Connection refused.
« Antwort #9 am: 05.06.20 - 12:54:40 »
Also die Mails lieber über eine unverschlüsselte Verbindung senden als das Problem zu suchen und zu lösen...
Jeder wie er meint...

Es nützt ja nichts, wenn der Empfänger nicht in der Lage ist ein korrektes nicht abgelaufenes Zertifikat auf seinen Server zu packen. Ich habe alle betroffenen Server gecheckt und in allen Fällen lag das Problem beim Empfänger. Ich kann mich nicht um deren Zertifikate kümmern. Es ist in dem Fall besser unverschlüsselt zu senden als garnichts. Was wäre denn die Alternative in dem Fall? Ein Fax senden?
Gruß
Michael


IBM Certified Advanced Application Developer (PCLP AD 8.5,8,7,6,5)
IBM Certified Associate System Administrator (CLS SA 8.5)
Domino 10.0.1 (Windows Server 2016)
Inventor of the 00.00.200x?

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz