セキュリティ : Cisco E メール セキュリティ アプライアンス

Cisco E メール セキュリティ アプライアンスはどのように TLS 証明書確認を行うか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

質問

Cisco E メール セキュリティ アプライアンスはどのように」または「好んだことを「-確認して下さい-確認する必要となったときに」TLS 証明書確認を行う設定されることをか。

ゾーレン Petersen および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

環境

Cisco E メール セキュリティ アプライアンス(ESA)、AsyncOS すべてのバージョン

検証プロセスは次の妥当性確認テストを含みます:

  • 証明書 チェーンを、これされます TLS ハンドシェイクで確認して下さい。 これが失敗した場合、ハンドシェイクはエラーと終わります。
  • 認証に DNS名を用いる subjectAltName 拡張がある場合、宛先 ドメイン名に対してこれらの名前を比較して下さい。 このチェックはワイルドカード一致をサポートします。
       かどうか「example.com == subjectAltName」確認して下さい。
  • 宛先 ドメインに対して認証 CN をチェックして下さい(完全に一致するものを必要とします)。
        かどうか「mail.example.com == CN」確認して下さい。
  • 確認したら ESA が接続する、認証 CN に対してこれを比較して下さい IP アドレスのリバース DNS ルックアップをすれば(完全に一致するものを必要とします)。
        MX(example.com) == mail.example.com
        A(mail.example.com) == 1.2.3.4
        PTR(1.2.3.4) == mail.example.com
        「mail.example.com == CN」かどうか確認して下さい
  • MX 名前に対して CN を検証するのに x509 ワイルドカードさねはぎ機を使用して下さい。
         MX(example.com) == mail.example.com
         CN == *.example.com
         「mail.example.com == *.example.com」かどうか確認して下さい

これらのテストのうちのどれかが渡る場合、TLS 確認は渡ります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118583