<div dir="ltr"><div>The Server:</div><div><br></div><div>OS:</div><div>RHEL 7.3</div><div>Kernel FIPS module is enabled</div><div><br></div><div>HTTPD:</div><div>httpd-2.4.6-45.el7.x86_64</div><div>httpd-tools-2.4.6-45.el7.x86_64</div><div><br></div><div>MOD_NSS:</div><div>mod_nss-1.0.14-7.el7.x86_64</div><div>FIPS mode enabled on the NSS Keystore via modutil<br></div><div><br></div><div>NSS:</div><div>nss-softokn-3.16.2.3-14.4.el7.x86_64</div><div>nss-softokn-freebl-3.16.2.3-14.4.el7.x86_64</div><div>nss-3.21.3-2.el7_3.x86_64</div><div>libsss_nss_idmap-1.14.0-43.el7.x86_64</div><div>nss-util-3.21.3-1.1.el7_3.x86_64</div><div>nss-sysinit-3.21.3-2.el7_3.x86_64</div><div>nss-tools-3.21.3-2.el7_3.x86_64</div><div><br></div><div>Hardware Token:</div><div>Server Cert private key is in an nCipher netHSM 6000</div><div><br></div><div>Clients using some versions OpenSSL and Windows based java clients using java.security socket libraries cannot complete the TLS handshake.</div><div>However, Firefox, Internet Explorer, and Microsoft edge can all successfully complete the handshake.</div><div><span style="color:rgb(31,73,125);font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><font color="#000000">error logs from failure case:</font></span></div><div><span style="font-size:12.8px"><font color="#000000">[Mon Jun 19 14:09:02.954556 2017] [:error] [pid 2737] SSL Library Error: -8152 The key does not support the requested operation</font></span></div><div><p class="MsoNormal" style="font-size:12.8px"><font color="#000000"><u></u> <u></u></font></p><p class="MsoNormal" style="font-size:12.8px"><font color="#000000">Then I tried turning off all the ecdhe_rsa_* ciphers in nss.conf and we just switched to this error:<u></u><u></u></font></p><p class="MsoNormal" style="font-size:12.8px"><font color="#000000"><u></u> </font></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:12.8px"><font color="#000000">[Mon Jun 19 17:05:00.776737 2017] [:error] [pid 30517] SSL Library Error: -12273 SSL has received a record with an incorrect Message Authentication Code</font></span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:12.8px"><font color="#000000"><br></font></span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:12.8px"><font color="#000000">If FIPS mode is disabled in the OS and on the NSS Keystore,  the </font></span><span style="font-size:small">OpenSSL and Windows based java clients using java.security libraries can complete the handshake.</span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:small"><br></span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:small">Any thoughts on what's going on? </span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:small"><br></span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:small">Thanks</span></p><p class="MsoNormal" style="font-size:12.8px"><span style="font-size:small">GW</span></p></div></div>