المقدمة
عند إستخدام TLS لتسليم بريد إلكتروني عبر جهاز Cisco Email Security Appliance (ESA)، يمكنك إختيار إجراء التحقق من الشهادة باستخدام خياري 'Verify' أو 'Hosted Verify'. ويعد هذا جزءا حاسما من تأمين تسليم رسائل البريد الإلكتروني عبر TLS، ومن المهم معرفة كيفية إجراء هذا التحقق.
ما هي خوارزمية التحقق من الشهادة في جهاز أمان البريد الإلكتروني من Cisco (ESA)؟
هناك في الواقع خوارزميين، أحدهما لخيار "التحقق" والآخر لخيار "التحقق المستضاف". وعادة ما يوصى بخيار "التحقق المستضاف" لأنه متوافق مع مجموعة أكبر من السيناريوهات.
معلومات أساسية
- تستند هذه الوثائق إلى AsyncOS 8.0.1 والإصدارات الأحدث. قد يكون للإصدارات السابقة من AsyncOS سلوك مختلف بعض الشيء.
- ما لم يتم تحديد خلاف ذلك، فإن تطابقات أحرف البدل مدعومة
- تتوقف كل خوارزمية بعد مطابقة ناجحة وعدم تقييم التحققات التالية
- يستخدم أمر واجهة سطر الأوامر (CLI) tlsverify "خوارزمية التحقق من الصحة"
التعاريف
- سي إن إن: هذا هو الاسم الشائع وهو جزء من موضوع الشهادة
- SAN: هذا هو امتداد الاسم البديل للموضوع إلى X.509. عند إستخدامه في هذا المستند، نشير تحديدا إلى أي أسماء DNS مضمنة في حقل SAN.
- مجال البريد الإلكتروني: هذا هو جزء المجال من عنوان البريد الإلكتروني الخاص بالمستلم. على سبيل المثال، عند التسليم إلى 'user@example.com'، يكون مجال البريد الإلكتروني هو 'example.com'
- أسماء مضيف MX: هذه هي أسماء المضيف لسجلات MX الخاصة بمجال البريد الإلكتروني
- PTR hostname: هذا هو اسم المضيف الذي تم إرجاعه بواسطة بحث DNS PTR عن عنوان IP الذي تتصل به ESA
- أسماء مضيف مسار SMTP: إذا تم تكوين مسار SMTP لهذا الوجهة، فهذا هو اسم المضيف المستخدم في مسار SMTP
خوارزمية التحقق المستضافة
- إذا احتوت الشهادة على خصائص SAN، سيتم إستخدامها فقط وسيتم تجاهل CN. سيتم إستخدام CN فقط في حالة عدم وجود خصائص SAN في الشهادة. يتوافق هذا مع RFC 6125.
- تم التحقق من الشهادة مقابل مجال البريد الإلكتروني.
- يتم التحقق من الشهادة مقابل أي أسماء مضيف مسار SMTP قد تكون موجودة.
- يتم التحقق من الشهادة مقابل اسم (أسماء) مضيف MX.
- إذا لم ينجح أي من عمليات التحقق السابقة، فسيفشل التحقق.
التحقق من الخوارزمية
- يتم التحقق من خصائص شبكة منطقة التخزين (SAN) مقابل مجال البريد الإلكتروني.
- يتم التحقق من CN مقابل مجال البريد الإلكتروني.
ملاحظة: تطابقات أحرف البدل غير مدعومة.
- يتم التحقق من سمات شبكة التخزين (SAN) مقابل اسم مضيف PTR.
- إذا لم ينجح أي من عمليات التحقق السابقة، فسيفشل التحقق.