安全 : Cisco IronPort Email 安全设备

ESA FAQ :如何能修改使用与SSL或TLS的密码器?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何修改使用与安全套接字层SSL或传输层安全的密码器(TLS)在思科电子邮件安全工具(ESA)。

贡献用詹姆斯Noad和罗伯特Sherwin, Cisco TAC工程师。

如何能修改使用与SSL或TLS的密码器?

使用AsyncOS,您能配置为出站连接的入站和请求的通告用sslconfig命令的SSL或TLS协议和密码器:

example.com (SERVICE)> sslconfig

sslconfig settings:
  inbound SMTP method:  sslv2sslv3tlsv1
  inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  outbound SMTP method:  sslv2sslv3tlsv1
  outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[6]> 5

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  inbound SMTP method:  sslv3tlsv1
  inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  outbound SMTP method:  sslv2sslv3tlsv1
  outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

默认情况下, ESA允许三份协议:sslv2sslv3tlsv1。因为有一些漏洞,一些用户禁用sslv2协议。为了建立TLS连接,两边必须有配比至少的一份启用的协议和配比至少的一启用的密码器。

当您查看从前一个示例时的密码器列表,了解原因是重要的显示词跟随的两密码器全部。虽然所有包括先于它的两密码器,密码器的定货在密码器列表的确定首选。因此,当TLS联系被建立时,客户端选择两边支持根据大约在列表的外观的第一密码器。

通过操作列表和其顺序加密选择的获得的您能影响。除列表特定密码器或组之外,您能由优点也重拨他们通过包括@STRENGTH在密码器字符串。

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH 

提示:思科建议您使用RC4-SHA:RC4-MD5,因为他们比在列表包括的许多快速其他密码器。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117855