¿Cuál es el algoritmo para la verificación del certificado en el dispositivo de seguridad del correo electrónico de Cisco (ESA)?

Opciones de descarga

  • PDF     (82.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (75.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de junio de 2016
ID del documento:200537

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Al usar TLS para entregar el correo electrónico vía un dispositivo de seguridad del correo electrónico de Cisco (ESA) usted puede elegir realizar la verificación del certificado usando o “verifica” o “recibido verifique” las opciones.  Esto es una parte de crucial que asegura la salida de los correos electrónicos sobre TLS, y es importante saber se realiza esta verificación.

¿Cuál es el algoritmo para la verificación del certificado en el dispositivo de seguridad del correo electrónico de Cisco (ESA)?

Hay realmente dos algoritmos, uno para “verifica” la opción, y el otro para “recibido verifica” la opción.  “Recibidos verifican típicamente” la opción se recomiendan pues son compatibles con una variedad más grande de escenarios.

Antecedentes

  • Esta documentación se basa en AsyncOS 8.0.1 y posterior versiones.  Las versiones anteriores de AsyncOS pueden tener comportamiento algo diferente.
  • Salvo especificación de lo contrario, se soportan las coincidencias del comodín
  • Cada algoritmo para después de una correspondencia con éxito y los controles subsiguientes no se evalúan
  • El comando CLI tlsverify las aplicaciones “verifica el algoritmo”

Definiciones

  • CN: Éste es el Common Name, parte del tema del certificado
  • SAN: Ésta es la extensión sujeta del nombre alterno al X.509.  Cuando están utilizados en este documento, estamos refiriendo específicamente a cualquier nombre DNS incluido en el SAN colocamos.
  • Dominio de correo electrónico: Ésta es la porción del dominio de la dirección de correo electrónico del beneficiario.  Por ejemplo, cuando la entrega a “user@example.com”, dominio de correo electrónico es “example.com”
  • Nombres de host MX: Éstos son los nombres de host de los expedientes MX del dominio del correo electrónico
  • Nombre de host PTR: Éste es el nombre de host vuelto por las operaciones de búsqueda PTR DNS de la dirección IP que el ESA está conectando con
  • Nombres de host de la ruta S TP: Si una ruta S TP se configura para este destino, éste es el nombre de host usado en la ruta S TP

Recibido verifique el algoritmo

  1. Si el certificado contiene los atributos SAN, sólo éstos serán utilizados y el CN será ignorado.  El CN será utilizado solamente si no hay atributos SAN en el certificado.  Esto se ajusta al RFC 6125.
  2. El certificado se marca contra dominio de correo electrónico.
  3. El certificado se marca contra cualquier nombre de host de la ruta S TP que pueda existir.
  4. El certificado se marca contra los hostname MX.
  5. Si ningunos de los controles anteriores han tenido éxito, la verificación falla.

Verifique el algoritmo

  1. Los atributos SAN se marcan contra dominio de correo electrónico.
  2. El CN se marca contra dominio de correo electrónico. 

    Note: Las coincidencias del comodín no se soportan.

  3. Los atributos SAN se marcan contra el nombre de host PTR.
  4. Si ningunos de los controles anteriores han tenido éxito, la verificación falla.
TAC Authored

Con la colaboración de ingenieros de Cisco

  • John Hess
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos