¿Tiene una cuenta?
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo crear un certificado para el uso con Transport Layer Security (TLS), activar TLS entrante y saliente, y resolver problemas los problemas básicos de TLS en Cisco envíe por correo electrónico el dispositivo de seguridad (ESA).
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
La implementación de TLS en el ESA proporciona la aislamiento para la transmisión de punto a punto de los correos electrónicos con el cifrado. Permite que un administrador importe un certificado y una clave privada de un servicio del Certificate Authority (CA), o utiliza un certificado autofirmado.
Cisco AsyncOS para la Seguridad del correo electrónico soporta la extensión STARTTLS al Simple Mail Transfer Protocol (SMTP) (S TP seguro sobre TLS).
Consejo: Para más información sobre TLS, refiera al RFC 3207.
Nota: Este documento describe cómo instalar los Certificados en el cluster llano con el uso de la característica de la administración centralizada en el ESA. Los Certificados pueden ser aplicados en el nivel de equipo también; sin embargo, si la máquina se quita del cluster y después se agrega nunca detrás, los Certificados del nivel de equipo serán perdidos.
Un administrador pudo desear de crear un certificado autofirmado en el dispositivo por ninguno de estos razones:
El ESA viene preconfigurado con un certificado de la demostración que se pueda utilizar para establecer las conexiones TLS.
Precaución: Mientras que el certificado de la demostración es suficiente para el establecimiento de una conexión TLS segura, sea consciente que no puede ofrecer una conexión comprobable.
Cisco recomienda que usted obtiene un X.509, o certificado aumentado aislamiento del correo electrónico (PEM) de CA. Esto se pudo también referir como certificado de Apache. El certificado de CA es deseable sobre el certificado autofirmado porque un certificado autofirmado es similar al certificado previamente mencionado de la demostración, que no puede ofrecer una conexión comprobable.
Nota: El formato del certificado PEM se define más a fondo en el RFC 1421 con el RFC 1424. El PEM es un formato del envase que puede incluir solamente el certificado público (por ejemplo con Apache instala y los archivos /etc/ssl/certs del certificado de CA) o una Cadena de certificados entera, para incluir la clave pública, la clave privada, y los certificados raíz. El nombre PEM es de un método fallado para el correo electrónico seguro, pero el formato del envase que utilizó sigue siendo active y es una traducción del base 64 de las claves X.509 ASN.1.
La opción para importar su propio certificado está disponible en el ESA; sin embargo, el requisito es que el certificado esté en el formato del PKCS-12. Este formato incluye la clave privada. Los administradores no tienen a menudo Certificados que estén disponibles en este formato. Por este motivo, Cisco recomienda que usted genera el certificado en el ESA y lo hace firmar correctamente por CA.
Si ha expirado un certificado que existe ya, salte la sección de los certificados autofirmados que despliega de este documento y re-muestra el certificado que existe.
Consejo: Refiera a la renovación un certificado en un documento de Cisco del dispositivo de seguridad del correo electrónico para más detalles.
Esta sección describe cómo generar un certificado autofirmado y un pedido de firma de certificado (CSR), proporcionar el certificado autofirmado a CA para firmar, cargar el certificado firmado al ESA, especificar el certificado para el uso con los servicios ESA, y sostener la configuración del aparato y los certificados.
Para crear un certificado autofirmado vía el CLI, ingrese el comando del certconfig.
Complete estos pasos para crear un certificado autofirmado del GUI:
Nota: El nombre de host del sistema no afecta a las conexiones TLS con respecto a ser comprobable. El nombre de host del sistema se muestra en la esquina superior derecha del dispositivo GUI, o de la salida de comando del sethostname CLI.
Precaución: Recuerde someter y confiar sus cambios antes de que usted exporte el CSR. Si estos pasos no se completan, el nuevo certificado no será confiado a la configuración del aparato, y el certificado firmado de CA no puede firmar, ni se aplique a, un certificado que exista ya.
Complete estos pasos para presentar el certificado autofirmado a CA para firmar:
CA entonces genera un certificado en el formato PEM.
Nota: Para una lista de proveedores de CA, refiera al artículo de Wikipedia del Certificate Authority.
Después de que CA devuelva el certificado público de confianza que es firmado por una clave privada, usted debe cargar el certificado firmado al ESA. El certificado se puede entonces utilizar con un módulo de escucha público o privado, un servicio de la interfaz IP HTTPS, la interfaz LDAP, o todas las conexiones TLS salientes a los dominios del destino.
Complete estos pasos para cargar el certificado firmado al ESA:
Consejo: Usted puede utilizar el juego de herramientas del OpenSSL, un programa del software gratuito, para convertir el formato.
Nota: Cuando usted carga el nuevo certificado, sobregraba el certificado actual. Un certificado intermedio que se relaciona con el certificado autofirmado puede también ser cargado.
Precaución: Recuerde someter y confiar los cambios después de que usted cargue el certificado firmado.
Ahora que el certificado se crea, se firma, y está cargado al ESA, puede ser utilizado para los servicios que requieren el uso del certificado.
Complete estos pasos para utilizar el certificado para los servicios entrantes de TLS:
Complete estos pasos para utilizar el certificado para los servicios salientes de TLS:
Complete estos pasos para utilizar el certificado para los servicios HTTPS:
Complete estos pasos para utilizar el certificado para los LDAP:
Complete estos pasos para utilizar el certificado para el Filtrado de URL:
Do you want to set client certificate for Cisco Web Security Services Authentication?
Asegúrese de que la configuración del aparato esté guardada ahora. La configuración del aparato contiene el trabajo completado del certificado que se ha aplicado vía los procesos previamente descritos.
Complete estos pasos para salvar el archivo de configuración del aparato:
Nota: Este proceso guarda el certificado en el formato del PKCS-12, que crea y salva el archivo con la protección de la contraseña.
Para activar TLS para todas las sesiones entrantes, conecte con la red GUI, elija las directivas del correo > las directivas del flujo de correo para el módulo de escucha entrante configurado, y después complete estos pasos:
La directiva del flujo de correo para el módulo de escucha ahora se pone al día con las configuraciones de TLS que usted ha elegido.
Complete estos pasos para activar TLS para las sesiones entrantes que llegan de un conjunto selecto de los dominios:
La directiva del flujo de correo para el grupo del remitente ahora se pone al día con las configuraciones de TLS que usted ha elegido.
Consejo: Refiera al artículo siguiente para más información sobre cómo el ESA maneja la verificación de TLS: ¿Cuál es el algoritmo para la verificación del certificado en el ESA?
Para activar TLS para las sesiones de salida, conecte con la red GUI, elija las directivas del correo > los controles del destino, y después complete estos pasos:
TLS trabajará con un certificado autofirmado, sin embargo si la verificación de TLS es requerida por el remitente, un certificado firmado de CA necesitaría ser instalado.
La verificación de TLS puede fallar aunque un certificado firmado de CA fue instalado en el ESA.
En estos casos, se recomienda para verificar el certicate vía los pasos en la sección del verificar.
Para verificar el certificado firmado de CA, aplique el certificado al servicio ESA GUI HTTPS.
Entonces, navegue al GUI de su ESA en su buscador Web. Si hay advertencias cuando usted navega a https://youresa, después el certificado es haber encadenado incorrectamente probable, como la falta de un certificado intermedio.
Antes de probar, asegúrese que el certificado que se probará es aplicado en el módulo de escucha donde su dispositivo recibe el correo entrante.
Las herramientas de tercera persona tales como CheckTLS.com y SSL-Tools.net se pueden utilizar para verificar el encadenamiento apropiado del certificado.
El ejemplo de la salida de CheckTLS.com para TLS-verifica el éxito
El ejemplo de la salida de CheckTLS.com para TLS-verifica el error
Nota: Si un certifcate uno mismo-firmado es funcionando, el resultado esperado en la columna ACEPTABLE “CERT” es “FALL”.
Si un certificado firmado de CA fue instalado y usted ve los errores, continúe a la siguiente sección para la información en cómo resolver problemas el problema.
Esta sección describe cómo resolver problemas los problemas básicos de TLS en el ESA.
Usted debe buscar los Certificados intermedios duplicados, especialmente cuando los Certificados actuales son actualizados en vez de una nueva creación del certificado. Los certificados intermedios pudieron haber cambiado, o pudieron haber sido encadenados incorrectamente, y el certificado pudo haber cargado los Certificados intermedios múltiples. Esto puede introducir los problemas del encadenamiento y de la verificación del certificado.
Usted puede configurar el ESA para enviar una alerta si la negociación de TLS falla cuando los mensajes se entregan a un dominio que requiera una conexión TLS. El mensaje de alerta contiene el nombre del dominio del destino para la negociación fallada de TLS. El ESA envía el mensaje de alerta a todos los beneficiarios que se fijen para recibir las alertas amonestadoras del nivel de gravedad para los tipos de la alerta del sistema.
Nota: Esto es una configuración global, así que no puede ser fijada sobre una base del por-dominio.
Complete estos pasos para habilitar las alertas de la conexión TLS:
Consejo: Usted puede también configurar esta configuración con el destconfig > comando CLI puesto.
El ESA también registra los casos para los cuales TLS se requiere para un dominio, pero no se podría utilizar en los registros del correo del dispositivo. Esto ocurre cuando se cumplen ninguno de estos condiciones:
Las conexiones TLS se registran en los registros del correo, junto con otras acciones significativas que se relacionen con los mensajes, tales como acciones del filtro, contras virus y veredictos del anti-Spam, y las tentativas de la salida. Si hay una conexión TLS acertada, habrá una entrada del éxito de TLS en los registros del correo. Asimismo, una conexión TLS fallada produce una entrada fallada TLS. Si un mensaje no tiene una entrada asociada de TLS en el archivo del registro, ese mensaje no fue entregado sobre una conexión TLS.
Consejo: Para entender los registros del correo, refiera al documento de Cisco de la determinación de la disposición del mensaje ESA.
Aquí está un ejemplo de una conexión TLS acertada del host remoto (recepción):
Tue Apr 17 00:57:53 2018 Info: New SMTP ICID 590125205 interface Data 1 (192.168.1.1) address 100.0.0.1 reverse dns host mail.example.com verified yes
Tue Apr 17 00:57:53 2018 Info: ICID 590125205 ACCEPT SG SUSPECTLIST match sbrs[-1.4:2.0] SBRS -1.1
Tue Apr 17 00:57:54 2018 Info: ICID 590125205 TLS success protocol TLSv1 cipher DHE-RSA-AES256-SHA
Tue Apr 17 00:57:55 2018 Info: Start MID 179701980 ICID 590125205
Aquí está un ejemplo de una conexión TLS fallada del host remoto (recepción):
Mon Apr 16 18:59:13 2018 Info: New SMTP ICID 590052584 interface Data 1 (192.168.1.1) address 100.0.0.1 reverse dns host mail.example.com verified yes
Mon Apr 16 18:59:13 2018 Info: ICID 590052584 ACCEPT SG UNKNOWNLIST match sbrs[2.1:10.0] SBRS 2.7
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 TLS failed: (336109761, 'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 lost
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 close
Aquí está un ejemplo de una conexión TLS acertada al host remoto (salida):
Tue Apr 17 00:58:02 2018 Info: New SMTP DCID 41014367 interface 192.168.1.1 address 100.0.0.1 port 25
Tue Apr 17 00:58:02 2018 Info: DCID 41014367 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Apr 17 00:58:03 2018 Info: Delivery start DCID 41014367 MID 179701982 to RID [0]
Aquí está un ejemplo de una conexión TLS fallada al host remoto (salida):
Mon Apr 16 00:01:34 2018 Info: New SMTP DCID 40986669 interface 192.168.1.1 address 100.0.0.1 port 25
Mon Apr 16 00:01:35 2018 Info: Connection Error: DCID 40986669 domain: domain.com IP:100.0.0.1 port: 25 details: 454-'TLS not available due to
temporary reason' interface: 192.168.1.1 reason: unexpected SMTP response
Mon Apr 16 00:01:35 2018 Info: DCID 40986669 TLS failed: STARTTLS unexpected response