Verificar y solucionar problemas de certificados TLS en Cisco ESA

Opciones de descarga

  • PDF     (271.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:15 de junio de 2026
ID del documento:118844

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo crear, configurar y resolver problemas de certificados TLS en el dispositivo de seguridad Cisco Email Security Appliance (ESA).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La implementación de TLS en el ESA proporciona privacidad para la transmisión punto a punto de correos electrónicos a través del cifrado. Esta implementación permite a un administrador importar un certificado y una clave privada de un servicio de Autoridad de certificados (CA) o utilizar un certificado autofirmado.

Cisco AsyncOS para Email Security admite la extensión STARTTLS del protocolo simple de transferencia de correo (SMTP) (SMTP seguro sobre TLS).

note-icon

Nota: Este documento describe cómo instalar certificados en el nivel de clúster con el uso de la función de administración centralizada en el ESA. Los certificados pueden aplicarse a nivel de máquina; sin embargo, si se quita la máquina del clúster y, a continuación, se vuelve a agregar, se pierden los certificados de nivel de máquina.

Descripción general funcional y requisitos

Un administrador puede utilizar un certificado en el dispositivo por cualquiera de estos motivos:

  • Para cifrar las conversaciones SMTP con otros MTA que utilizan TLS (conversaciones entrantes y salientes).
  • Para habilitar el servicio HTTPS en el dispositivo para el acceso a la GUI a través de HTTPS.
  • Para su uso como certificado de cliente para protocolos ligeros de acceso a directorios (LDAP), si el servidor LDAP requiere un certificado de cliente.
  • Para permitir una comunicación segura entre el dispositivo y un dispositivo Threat Grid de protección frente a malware avanzado (AMP) de Cisco.

El ESA viene preconfigurado con un certificado de demostración que se puede utilizar para establecer conexiones TLS.

caution-icon

Precaución: Aunque el certificado de demostración es suficiente para establecer una conexión TLS segura, tenga en cuenta que no puede ofrecer una conexión verificable. Cisco recomienda que obtenga un certificado X.509 o de Correo electrónico con privacidad mejorada (PEM) de una CA.

Configurar y asignar un certificado

Antes de continuar, asegúrese de haber completado los pasos para crear y asignar un certificado como se describe en la guía del usuario. Estos enlaces proporcionan las instrucciones necesarias:

Verificación

Verificar TLS para HTTPS

1. Acceda a la GUI:Navegue hasta su dispositivo ESA usando la URL HTTPS (por ejemplo, https://esa.example.com).

2. Detalles del certificado abierto:Haga clic en el icono Información del sitio (normalmente un candado) situado a la izquierda de la URL en la barra de direcciones del navegador.

3. Validar basándose en su navegador:

     a. Google Chrome: Haga clic en el icono Candado>La conexión es segura>El certificado es válido.

     b. Microsoft Edge: Haga clic en el icono de candado>Connection is secure>Certificate icon(en la parte superior derecha del menú desplegable).

     c. Mozilla Firefox: Haga clic en el icono Candado>Conexión segura>Más información>Ver certificado.

4. Confirmar validez: Revise el "Período de validez" o "Estado" en el visor de certificados. Si el certificado aparece como Válido, la conexión es segura y el explorador reconoce correctamente el certificado.

Verificar TLS para entrega o recepción de correo electrónico

Aunque Rastreo de mensajes en la GUI proporciona esta información, el uso de la Interfaz de línea de comandos (CLI) es a menudo más eficiente para la revisión masiva o la resolución rápida de problemas.

Revise estos pasos para revisar el estado de TLS mediante la CLI:

  1. Inicie sesión en la CLI:acceda al dispositivo a través de SSH con sus credenciales administrativas.
  2. Ejecute el comando Grep:Use la greputility para filtrar los registros de correo para actividad relacionada con TLS.
  3. Analizar ID de conexión:Revise el resultado según el tipo de conexión:
    • ICID (ID de conexión entrante):Revise estas entradas para verificar que TLS no se reciban conexiones en el receptor.
    • DCID (ID de conexión de entrega):Revise estas entradas para verificar TLS en busca de conexiones que se entreguen al MTA de salto siguiente.
note-icon

Nota: Puede buscar cadenas específicas como "TLS correcto" o "TLS erróneo" para restringir los resultados.

Ejemplo de éxito de TLS al recibir correo

(Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Ejemplo de falla de TLS al recibir correo

(Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

Ejemplo de éxito de TLS al entregar correo

(Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Ejemplo de falla de TLS al entregar correo

(Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

Verificar TLS para LDAP

Aunque los registros ldap_debug no muestran una cadena TLS específica, puede determinar si TLS es exitoso o ha fallado examinando la respuesta LDAP y los puertos en uso. Para las conexiones LDAPS, esto normalmente significa el puerto 3269 para Active Directory o el puerto 636 para OpenLDAP.

Ejemplo de TLS para LDAP

(Machine esa.example.com) (SERVICE)> tail ldap_debug

Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580

note-icon

Nota: Para un análisis más detallado del tráfico LDAP y la actividad de TLS, Cisco recomienda capturar paquetes de red en los hosts y puertos relevantes.

Troubleshoot

Esta sección describe cómo resolver problemas básicos de TLS en el ESA.

Comprobar certificados intermedios

Busque certificados intermedios duplicados cuando se actualicen los certificados actuales en lugar de crear un nuevo certificado. Los certificados intermedios pueden cambiar o encadenarse incorrectamente, y el certificado puede cargar varios certificados intermedios. Esto puede introducir problemas de encadenamiento y verificación de certificados.

Habilitar notificaciones para errores de conexión TLS requeridos

Puede configurar el ESA para enviar una alerta si la negociación TLS falla cuando se entregan mensajes a un dominio que requiere una conexión TLS. El mensaje de alerta contiene el nombre del dominio de destino para la negociación TLS fallida. El ESA envía el mensaje de alerta a todos los destinatarios configurados para recibir alertas de nivel de gravedad de advertencia para los tipos de alerta del sistema.

note-icon

Nota: Se trata de una configuración global, por lo que no se puede establecer por dominio.

Complete estos pasos para habilitar las alertas de conexión TLS:

  1. Vaya a Políticas de correo > Controles de destino.
  2. Haga clic en Edit Global Settings.
  3. Marque la casilla de verificación Enviar una alerta cuando falle una conexión TLS obligatoria.
tip-icon

Consejo: También puede configurar esta configuración con el comando CLI destconfig > setup.

El ESA también registra las instancias para las cuales se requiere TLS para un dominio, pero no se pudo utilizar en el dispositivo mail_logs. Esto ocurre cuando se cumple cualquiera de estas condiciones:

  • El MTA remoto no soporta ESMTP (por ejemplo, no entendió el comando EHLO del ESA).
  • El MTA remoto soporta ESMTP, pero el comando STARTTLS no estaba en la lista de extensiones anunciadas en la respuesta EHLO.
  • El MTA remoto anunció la extensión STARTTLS, pero respondió con un error cuando el ESA envió el comando STARTTLS.

Solución de problemas mediante herramientas de terceros

  • Asegúrese de que el certificado se aplica en el Receptor donde el dispositivo recibe correo entrante antes de comenzar la prueba.

Las herramientas de terceros como CheckTLS.com y SSL-Tools.net se pueden utilizar para verificar el correcto encadenamiento del certificado durante la recepción. Revise la documentación de cada herramienta para saber cómo validar el certificado.

note-icon

Nota: Si se está utilizando un certificado autofirmado, se espera un error.

Resolución

Si un certificado firmado por la CA está en uso y falla la verificación de TLS, verifique que estos elementos coincidan:

  • Nombre común del certificado
  • Nombre de host (en GUI > Red > Interfaz)
  • Nombre de host del registro MX: columna Servidor MX de la tabla TestReceiver

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
5.0
15-Jun-2026
Espaciado, ortografía y estructura de oración actualizados.
4.0
25-Feb-2026
Actualizar el formato, la sintaxis y los pasos mediante versiones recientes de AsyncOS.
3.0
29-Mar-2024
Recertificación
1.0
05-Aug-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Dennis McCabe Jr
    Cisco Technical Leader

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos