IBM Support

Domino Web 服务器若在使用 MD5 签名的 SSL 证书,将导致 TLS 1.2 握手失败

Technote (troubleshooting)


问题

当支持传输层安全性(TLS) 1.2 协议的 Domino Web 服务器使用的是 MD5 散列算法签名的服务器 SSL 证书时,用户使用较新版本的 Web 浏览器将无法完成身份验证,这些较新版本的 Web 浏览器不再接受 MD5 散列算法签名的服务器 SSL 证书并会阻止与远端服务器建立连接。Domino CA 进程签发的 SSL 证书默认正是用 MD5 散列算法签名的。

症状

服务器控制台的日志将显示以下条目:

      [00570:00010-0000002B] 03/31/2015 15:35:22   TLS/SSL connection 9.123.x.x(4483)-9.83.x.x(50750)
      failed with server certificate chain signature algorithms NOT supported by client                                                
      [00570:00010-0000002B] 03/31/2015 15:35:22   TLS/SSL connection 9.123.x.x(4483)-9.83.x.x(50750)
      failed with server certificate chain requiring support for MD5


浏览器用户会看到以下提示:

原因

TLS 1.2 允许终端用户选择允许接受的服务器 SSL 证书签名算法。较新版本的浏览器不再认为 MD5 是安全的签名算法,因此如果 Domino 的 SSL 证书是采用 MD5 签名算法生成的,那么在 TLS 1.2 握手阶段不再允许与远端服务器建立连接并返回上述错误提示。

环境

以下支持 TLS 1.2 的环境:

  • Domino 9.0.1 Fix Pack 3 Interim Fix 2 、9.0.1 Fix Pack 4或更高版本.
  • Notes 9.0.1 Fix Pack 3 Interim Fix 3 、9.0.1 Fix Pack 4或更高版本.

解决问题

要解决这个问题,需要将 Web 服务器的 MD5 keyring 替换为 SHA-2 (or SHA1)。详细步骤请参考 Generating A SHA-2 Keyring Wiki文档。

Document information

More support for: IBM Domino
Security

Software version: 8.5, 8.5.1.5, 8.5.2.4, 8.5.3.6, 9.0, 9.0.1.3

Operating system(s): AIX, IBM i, Linux, Windows

Reference #: 1963529

Modified date: 31 July 2015