Überprüfung und Problembehebung für TLS-Zertifikate auf der Cisco ESA

Download-Optionen

  • PDF     (272.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (75.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. Februar 2026
Dokument-ID:118844

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie TLS-Zertifikate auf der Cisco E-Mail Security Appliance (ESA) erstellt, konfiguriert und auf Fehler behoben werden.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Die TLS-Implementierung auf der ESA bietet Datenschutz für die Punkt-zu-Punkt-Übertragung von E-Mails durch Verschlüsselung. Diese Implementierung ermöglicht es dem Administrator, ein Zertifikat und einen privaten Schlüssel von einem Zertifizierungsstellendienst (Certificate Authority, CA) zu importieren oder ein selbstsigniertes Zertifikat zu verwenden.

    Cisco AsyncOS für E-Mail Security unterstützt die STARTTLS-Erweiterung für das Simple Mail Transfer Protocol (SMTP) (Secure SMTP over TLS).

    note-icon

    Anmerkung: In diesem Dokument wird beschrieben, wie Zertifikate auf Cluster-Ebene mithilfe der Funktion für das zentrale Management auf der ESA installiert werden. Zertifikate können auf Computerebene angewendet werden; Wenn der Computer jedoch aus dem Cluster entfernt und dann wieder hinzugefügt wird, gehen die Zertifikate auf Computerebene verloren.

    Funktionsüberblick und Anforderungen

    Ein Administrator kann ein Zertifikat auf der Appliance aus einem der folgenden Gründe verwenden:

    • Verschlüsseln der SMTP-Konversationen mit anderen MTAs, die TLS verwenden (eingehende und ausgehende Konversationen).
    • Zum Aktivieren des HTTPS-Services auf der Appliance für den Zugriff auf die GUI über HTTPS.
    • Zur Verwendung als Clientzertifikat für LDAPs (Lightweight Directory Access Protocols), wenn der LDAP-Server ein Clientzertifikat benötigt.
    • Sichere Kommunikation zwischen der Appliance und einer Cisco Advanced Malware Protection (AMP) Threat Grid Appliance.

    Die ESA ist mit einem Demonstrationszertifikat vorkonfiguriert, mit dem TLS-Verbindungen hergestellt werden können.

    caution-icon

    Vorsicht: Das Demonstrationszertifikat ist zwar für den Aufbau einer sicheren TLS-Verbindung ausreichend, Sie sollten sich jedoch bewusst sein, dass es keine überprüfbare Verbindung bieten kann. Cisco empfiehlt, ein X.509- oder ein Privacy Enhanced Email (PEM)-Zertifikat von einer Zertifizierungsstelle zu erhalten.

    Konfigurieren und Zuweisen eines Zertifikats

    Bevor Sie fortfahren, müssen Sie die Schritte zum Erstellen und Zuweisen eines Zertifikats wie im Benutzerhandbuch beschrieben ausführen. Diese Links enthalten die erforderlichen Anweisungen:

    Überprüfung

    TLS für HTTPS überprüfen

    1. Zugriff auf die GUI: Navigieren Sie mithilfe der HTTPS-URL zu Ihrem ESA-Gerät (z. B. https://esa.example.com)

    2. Zertifikatsdetails öffnen: Klicken Sie auf das Symbol Site Information (normalerweise ein Vorhängeschloss) links neben der URL in der Adressleiste des Browsers.

    3. Validieren Sie anhand Ihres Browsers:

         antwort: Google Chrome: Klicken Sie auf das Schlosssymbol > Verbindung ist sicher > Zertifikat ist gültig.

         b. Microsoft Edge: Klicken Sie auf das Schlosssymbol > Verbindung ist sicher > Zertifikatsymbol (oben rechts im Flyout).

         c. Mozilla Firefox: Klicken Sie auf das Vorhängeschloss-Symbol > Verbindung sicher > Weitere Informationen > Zertifikat anzeigen (View Certificate).

    4. Validität bestätigen: Überprüfen Sie den Gültigkeitszeitraum in der Zertifikatsanzeige. Wenn das Zertifikat als Gültig angezeigt wird, ist die Verbindung sicher, und das Zertifikat wird vom Browser richtig erkannt.

    Verifizieren von TLS für E-Mail-Zustellung oder -Empfang

    Während die Nachrichtenverfolgung in der GUI diese Informationen bereitstellt, ist die Verwendung der Befehlszeilenschnittstelle (CLI) für Massenüberprüfungen oder eine schnelle Fehlerbehebung oft effizienter.

    Gehen Sie folgendermaßen vor, um den TLS-Status über die CLI zu überprüfen:

    1. Melden Sie sich bei der CLI an: Greifen Sie mit Ihren Administratoranmeldeinformationen über SSH auf die Appliance zu.
    2. Führen Sie den Befehl Grep aus: Verwenden Sie Greputility, um die Mail-Protokolle nach TLS-bezogenen Aktivitäten zu filtern.
    3. Analyse von Verbindungs-IDs: Überprüfen Sie die Ausgabe basierend auf dem Verbindungstyp:
      • ICID (Incoming Connection ID) (ID der eingehenden Verbindung): Überprüfen Sie diese Einträge, um TLS für Verbindungen zu überprüfen, die auf dem Listener empfangen werden.
      • DCID (Delivery Connection ID): Überprüfen Sie diese Einträge, um TLS für Verbindungen zu überprüfen, die an den Next-Hop-MTA übermittelt werden.
    note-icon

    Anmerkung: Sie können nach bestimmten Strings wie "TLS Success" oder "TLS Failed" suchen, um die Ergebnisse einzugrenzen.

    TLS-Erfolgsbeispiel beim Empfang von E-Mails

    (Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
    Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
    Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

    Beispiel für einen TLS-Fehler beim Empfang von E-Mails

    (Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
    Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
    Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    TLS-Erfolgsbeispiel beim Zustellen von E-Mails

    (Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

    Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    Beispiel für einen TLS-Fehler beim Zustellen von E-Mails

    (Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

    Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
    Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

    TLS für LDAP verifizieren

    Obwohl die Protokolle "ldap_debug" keine bestimmte TLS-Zeichenfolge enthalten, können wir durch Überprüfung der LDAP-Antwort und der verwendeten Ports feststellen, ob TLS erfolgreich ist oder fehlgeschlagen ist. Für LDAPS-Verbindungen bedeutet dies normalerweise Port 3269 für Active Directory oder Port 636 für OpenLDAP.

    TLS-Beispiel für LDAP

    (Machine esa.example.com) (SERVICE)> tail ldap_debug

    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580
    note-icon

    Anmerkung: Für eine detailliertere Analyse des LDAP-Datenverkehrs und der TLS-Aktivität empfehlen wir die Erfassung von Netzwerkpaketen auf den relevanten Hosts und Ports.

    Fehlerbehebung

    In diesem Abschnitt wird beschrieben, wie grundlegende TLS-Probleme auf der ESA behoben werden.

    Zwischenzertifikate prüfen

    Suchen Sie nach doppelten Zwischenzertifikaten, insbesondere dann, wenn die aktuellen Zertifikate aktualisiert werden, anstatt ein neues Zertifikat zu erstellen. Die Zwischenzertifikate können geändert oder falsch verkettet werden, und das Zertifikat kann mehrere Zwischenzertifikate hochladen. Dies kann zu Problemen mit der Zertifikatverkettung und der Überprüfung führen.

    Benachrichtigungen bei erforderlichen TLS-Verbindungsfehlern aktivieren

    Sie können die ESA so konfigurieren, dass sie eine Warnung sendet, wenn die TLS-Aushandlung fehlschlägt, wenn Nachrichten an eine Domäne übermittelt werden, die eine TLS-Verbindung erfordert. Die Warnmeldung enthält den Namen der Zieldomäne für die fehlgeschlagene TLS-Aushandlung. Die ESA sendet die Warnmeldung an alle Empfänger, die Warnmeldungen über den Schweregrad von Systemwarnungen empfangen sollen.

    note-icon

    Anmerkung: Dies ist eine globale Einstellung und kann daher nicht für jede Domäne festgelegt werden.

    Gehen Sie wie folgt vor, um TLS-Verbindungswarnungen zu aktivieren:

    1. Navigieren Sie zu Mail-Policys > Zielsteuerelemente.
    2. Klicken Sie auf Globale Einstellungen bearbeiten.
    3. Aktivieren Sie das Kontrollkästchen Warnmeldung senden, wenn eine erforderliche TLS-Verbindung fehlschlägt.
    tip-icon

    Tipp: Sie können diese Einstellung auch mit dem CLI-Befehl destconfig > setup konfigurieren.

    Die ESA protokolliert auch die Instanzen, für die TLS für eine Domäne erforderlich ist, die jedoch nicht in der Appliance mail_logs verwendet werden konnten. Dies ist der Fall, wenn eine der folgenden Bedingungen erfüllt ist:

    • Die Remote-MTA unterstützt ESMTP nicht (sie hat beispielsweise den EHLO-Befehl der ESA nicht verstanden).
    • Die Remote-MTA unterstützt ESMTP, aber der STARTTLS-Befehl war nicht in der Liste der in der EHLO-Antwort angekündigten Erweiterungen.
    • Die Remote-MTA meldete die STARTTLS-Erweiterung an, antwortete jedoch mit einem Fehler, als die ESA den STARTTLS-Befehl sendete.

    Fehlerbehebung mit Tools von Drittanbietern

    • Stellen Sie sicher, dass das Zertifikat beim Listener angewendet wird, bei dem die Appliance eingehende E-Mails empfängt, bevor Sie mit dem Test beginnen.

    Tools von Drittanbietern wie CheckTLS.com und SSL-Tools.net können verwendet werden, um die korrekte Verkettung des Zertifikats beim Empfang zu überprüfen. Lesen Sie in der Dokumentation zu den einzelnen Tools nach, wie das Zertifikat validiert wird.

    note-icon

    Anmerkung: Wenn ein selbstsigniertes Zertifikat verwendet wird, ist ein Fehler zu erwarten.

    Auflösung

    Wenn ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird und die TLS-Überprüfung fehlschlägt, stellen Sie sicher, dass die folgenden Elemente übereinstimmen:

    • Allgemeiner Name des Zertifikats
    • Hostname (auf GUI > Netzwerk > Schnittstelle)
    • Hostname des MX-Datensatzes: Dies ist die Spalte MX Server in der Tabelle TestReceiver.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    25-Feb-2026
    Aktualisieren von Formatierung, Syntax und Schritten mit den neuesten AsyncOS-Versionen.
    3.0
    29-Mar-2024
    Rezertifizierung
    1.0
    05-Aug-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Dennis McCabe Jr
      Cisco Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.