Überprüfung und Problembehebung für TLS-Zertifikate auf der Cisco ESA

Download-Optionen

  • PDF     (273.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:15. Juni 2026
Dokument-ID:118844

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie TLS-Zertifikate auf der Cisco E-Mail Security Appliance (ESA) erstellt, konfiguriert und auf Fehler behoben werden.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Die TLS-Implementierung auf der ESA bietet Datenschutz für die Punkt-zu-Punkt-Übertragung von E-Mails durch Verschlüsselung. Diese Implementierung ermöglicht es dem Administrator, ein Zertifikat und einen privaten Schlüssel von einem Zertifizierungsstellendienst (Certificate Authority, CA) zu importieren oder ein selbstsigniertes Zertifikat zu verwenden.

Cisco AsyncOS für E-Mail Security unterstützt die STARTTLS-Erweiterung für das Simple Mail Transfer Protocol (SMTP) (Secure SMTP over TLS).

note-icon

Anmerkung: In diesem Dokument wird beschrieben, wie Zertifikate auf Cluster-Ebene mithilfe der Funktion für das zentrale Management auf der ESA installiert werden. Zertifikate können auf Computerebene angewendet werden; Wenn der Computer jedoch aus dem Cluster entfernt und dann wieder hinzugefügt wird, gehen die Zertifikate auf Computerebene verloren.

Funktionsüberblick und Anforderungen

Ein Administrator kann ein Zertifikat auf der Appliance aus einem der folgenden Gründe verwenden:

  • Verschlüsseln der SMTP-Konversationen mit anderen MTAs, die TLS verwenden (eingehende und ausgehende Konversationen).
  • Zum Aktivieren des HTTPS-Services auf der Appliance für den Zugriff auf die GUI über HTTPS.
  • Zur Verwendung als Clientzertifikat für LDAPs (Lightweight Directory Access Protocols), wenn der LDAP-Server ein Clientzertifikat benötigt.
  • Sichere Kommunikation zwischen der Appliance und einer Cisco Advanced Malware Protection (AMP) Threat Grid Appliance.

Die ESA ist mit einem Demonstrationszertifikat vorkonfiguriert, mit dem TLS-Verbindungen hergestellt werden können.

caution-icon

Vorsicht: Das Demonstrationszertifikat ist zwar für den Aufbau einer sicheren TLS-Verbindung ausreichend, Sie sollten sich jedoch bewusst sein, dass es keine überprüfbare Verbindung bieten kann. Cisco empfiehlt, ein X.509- oder ein Privacy Enhanced Email (PEM)-Zertifikat von einer Zertifizierungsstelle zu erhalten.

Konfigurieren und Zuweisen eines Zertifikats

Bevor Sie fortfahren, müssen Sie die Schritte zum Erstellen und Zuweisen eines Zertifikats wie im Benutzerhandbuch beschrieben ausführen. Diese Links enthalten die erforderlichen Anweisungen:

Überprüfung

TLS für HTTPS überprüfen

1. Zugriff auf die grafische Benutzeroberfläche: Navigieren Sie mithilfe der HTTPS-URL (z. B. https://esa.example.com) zu Ihrem ESA-Gerät.

2. Zertifikatsdetails öffnen: Klicken Sie auf das Symbol Site Information (normalerweise ein Vorhängeschloss) links neben der URL in der Adressleiste des Browsers.

3. Validieren Sie anhand Ihres Browsers:

     antwort: Google Chrome: Klicken Sie auf das Vorhängeschlosssymbol>Verbindung ist sicher>Zertifikat ist gültig.

     b. Microsoft Edge: Klicken Sie auf das Schlosssymbol>Die Verbindung ist sicher>Zertifikatsymbol (oben rechts im Fenster).

     c. Mozilla Firefox: Klicken Sie auf das Vorhängeschloss-Symbol>Sichere Verbindung>Weitere Informationen>Zertifikat anzeigen>.

4. Validität bestätigen:Überprüfen Sie den Gültigkeitszeitraum oder Status in der Zertifikatsanzeige. Wenn das Zertifikat als Gültig angezeigt wird, ist die Verbindung sicher, und das Zertifikat wird vom Browser richtig erkannt.

Verifizieren von TLS für E-Mail-Zustellung oder -Empfang

Während die Nachrichtenverfolgung in der GUI diese Informationen bereitstellt, ist die Verwendung der Befehlszeilenschnittstelle (CLI) für Massenüberprüfungen oder eine schnelle Fehlerbehebung oft effizienter.

Gehen Sie folgendermaßen vor, um den TLS-Status über die CLI zu überprüfen:

  1. Melden Sie sich bei der CLI an: Greifen Sie mit Ihren Administratoranmeldeinformationen über SSH auf die Appliance zu.
  2. Führen Sie den Befehl Grep aus: Verwenden Sie Greputility, um die E-Mail-Protokolle nach TLS-bezogenen Aktivitäten zu filtern.
  3. Analyse von Verbindungs-IDs:Überprüfen Sie die Ausgabe anhand des Verbindungstyps:
    • ICID (Incoming Connection ID) (ID der eingehenden Verbindung): Überprüfen Sie diese Einträge, um die TLS für Verbindungen zu überprüfen, die auf dem Listener empfangen werden.
    • DCID (Delivery Connection ID): Überprüfen Sie diese Einträge, um die TLS für Verbindungen zu überprüfen, die an die Next-Hop-MTA übertragen werden.
note-icon

Anmerkung: Sie können nach bestimmten Strings wie "TLS Success" oder "TLS Failed" suchen, um die Ergebnisse einzugrenzen.

TLS-Erfolgsbeispiel beim Empfang von E-Mails

(Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Beispiel für einen TLS-Fehler beim Empfang von E-Mails

(Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

TLS-Erfolgsbeispiel beim Zustellen von E-Mails

(Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Beispiel für einen TLS-Fehler beim Zustellen von E-Mails

(Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

TLS für LDAP verifizieren

Obwohl die Protokolle "ldap_debug" keine bestimmte TLS-Zeichenfolge enthalten, können Sie durch Überprüfung der LDAP-Antwort und der verwendeten Ports feststellen, ob TLS erfolgreich ist oder fehlgeschlagen ist. Für LDAPS-Verbindungen bedeutet dies normalerweise Port 3269 für Active Directory oder Port 636 für OpenLDAP.

TLS-Beispiel für LDAP

(Machine esa.example.com) (SERVICE)> tail ldap_debug

Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580

note-icon

Anmerkung: Für eine detailliertere Analyse des LDAP-Datenverkehrs und der TLS-Aktivität empfiehlt Cisco die Erfassung von Netzwerkpaketen auf den relevanten Hosts und Ports.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, wie grundlegende TLS-Probleme auf der ESA behoben werden.

Zwischenzertifikate prüfen

Suchen Sie nach doppelten Zwischenzertifikaten, wenn die aktuellen Zertifikate aktualisiert werden, anstatt ein neues Zertifikat zu erstellen. Die Zwischenzertifikate können geändert oder falsch verkettet werden, und das Zertifikat kann mehrere Zwischenzertifikate hochladen. Dies kann zu Problemen mit der Zertifikatverkettung und der Überprüfung führen.

Benachrichtigungen bei erforderlichen TLS-Verbindungsfehlern aktivieren

Sie können die ESA so konfigurieren, dass sie eine Warnung sendet, wenn die TLS-Aushandlung fehlschlägt, wenn Nachrichten an eine Domäne übermittelt werden, die eine TLS-Verbindung erfordert. Die Warnmeldung enthält den Namen der Zieldomäne für die fehlgeschlagene TLS-Aushandlung. Die ESA sendet die Warnmeldung an alle Empfänger, die Warnmeldungen über den Schweregrad von Systemwarnungen empfangen sollen.

note-icon

Anmerkung: Dies ist eine globale Einstellung und kann daher nicht für jede Domäne festgelegt werden.

Gehen Sie wie folgt vor, um TLS-Verbindungswarnungen zu aktivieren:

  1. Navigieren Sie zu Mail-Policys > Zielsteuerelemente.
  2. Klicken Sie auf Globale Einstellungen bearbeiten.
  3. Aktivieren Sie das Kontrollkästchen Warnmeldung senden, wenn eine erforderliche TLS-Verbindung fehlschlägt.
tip-icon

Tipp: Sie können diese Einstellung auch mit dem CLI-Befehl destconfig > setup konfigurieren.

Die ESA protokolliert auch die Instanzen, für die TLS für eine Domäne erforderlich ist, die jedoch nicht in der Appliance mail_logs verwendet werden konnten. Dies ist der Fall, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die Remote-MTA unterstützt ESMTP nicht (sie hat beispielsweise den EHLO-Befehl der ESA nicht verstanden).
  • Die Remote-MTA unterstützt ESMTP, aber der STARTTLS-Befehl war nicht in der Liste der in der EHLO-Antwort angekündigten Erweiterungen.
  • Die Remote-MTA meldete die STARTTLS-Erweiterung an, antwortete jedoch mit einem Fehler, als die ESA den STARTTLS-Befehl sendete.

Fehlerbehebung mit Tools von Drittanbietern

  • Stellen Sie sicher, dass das Zertifikat beim Listener angewendet wird, bei dem die Appliance eingehende E-Mails empfängt, bevor Sie mit dem Test beginnen.

Tools von Drittanbietern wie CheckTLS.com und SSL-Tools.net können verwendet werden, um die korrekte Verkettung des Zertifikats beim Empfang zu überprüfen. Lesen Sie in der Dokumentation zu den einzelnen Tools nach, wie das Zertifikat validiert wird.

note-icon

Anmerkung: Wenn ein selbstsigniertes Zertifikat verwendet wird, ist ein Fehler zu erwarten.

Auflösung

Wenn ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird und die TLS-Überprüfung fehlschlägt, stellen Sie sicher, dass die folgenden Elemente übereinstimmen:

  • Allgemeiner Name des Zertifikats
  • Hostname (in GUI > Netzwerk > Schnittstelle)
  • Hostname des MX-Datensatzes: Dies ist die Spalte MX Server in der Tabelle TestReceiver.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
5.0
15-Jun-2026
Aktualisierte Abstände, Rechtschreibung und Satzstruktur.
4.0
25-Feb-2026
Aktualisieren von Formatierung, Syntax und Schritten mit den neuesten AsyncOS-Versionen.
3.0
29-Mar-2024
Rezertifizierung
1.0
05-Aug-2015
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Dennis McCabe Jr
    Cisco Technical Leader

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.