IBM Domino web server s TLS 1.2 a selfsign certifikát

Základní

Selfsign certifikát většinou pro interní použití nebo testování HTTPS na IBM Domino serveru stačil. S příchodem a instalací IF2 pro IBM Domino 901FP3, který nově zavádí TLS 1.2 je ale tomuto jednoduchému řešení konec.

Pokud máte pro HTTPS na IBM Domino 901FP3 serveru použitý selfsign certifikát a nainstalujete IF2, přestane webový přístup fungovat. Na console logu Domino serveru se začnou zobratovat následující chyby:

[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49539) failed with server certificate chain signature alogrithms NOT supported by client
[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49539) failed with server certificate chain requiring support for MD5
[0E5C:000A-07F4] 04/09/2015 11:09:11 AM TLS/SSL connection <IPadresa>(443)-<IPadresa>(49540) failed with inappropriate_fallback

A ve web browser jsou zobrazeny následující chybi:

Při použití Chrome

K serveru nelze vytvořit zabezpečené připojení. Může se jednat o problém se serverem, nebo server může vyžadovat klientský ověřovací certifikát, který nemáte.
Kód chyby: ERR_SSL_PROTOCOL_ERROR

Při použití FireFoxu

Při spojení s domino9 nastala chyba. Server odmítl inicializovat spojení, protože klient začal používat verzi TLS, která je nižší než ta, která je podporovaná serverem. (Kód chyby: ssl_error_inappropriate_fallback_alert)

  • Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
  • Kontaktujte prosím vlastníka webového serveru a informujte ho o tomto problému.

Proč tomu tak je?

Selfsign certifikát je založen na algoritmu MD5 a s klíčem 512b a to je pro IF2 který zavádí TLS 1.2 málo. Zkoušel jsem hledat zda není nějaký parametr který by umožnil i na Domino serveru 901FP3IF2 použít selfsign certifikát, ale nebyl jsem úspěšný. Po tom co jsem pár dnů laboroval s různým nastavením jsem to vzdal, nakonfiguroval na Domino serveru certifikační autoritu s algoritmem RSA SHA512, klíčem 4096b a následně vygeneroval pro HTTPS certifikát SHA512RSA s klíčem RSA 2048b.

screen_cert

screen_cert_1

Výše uvedeným problémům a jejich řešení je věnována i Technote 1701159 na webu IBM.

Leave a Reply