Verifica e risoluzione dei problemi dei certificati TLS su Cisco ESA

Opzioni per il download

PDF (270.4 KB)
Visualizza con Adobe Reader su diversi dispositivi

Aggiornato:25 febbraio 2026

ID documento:118844

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come creare, configurare e risolvere i problemi relativi ai certificati TLS su Cisco Email Security Appliance (ESA).

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

L'implementazione TLS sull'ESA fornisce privacy per la trasmissione point-to-point delle e-mail tramite crittografia. Questa implementazione consente a un amministratore di importare un certificato e una chiave privata da un servizio CA (Certification Authority) o di utilizzare un certificato autofirmato.

Cisco AsyncOS for Email Security supporta l'estensione STARTTLS al protocollo SMTP (Simple Mail Transfer Protocol) (Secure SMTP over TLS).

Nota: Questo documento descrive come installare certificati a livello di cluster con l'uso della funzione di gestione centralizzata sull'ESA. I certificati possono essere applicati a livello di macchina; tuttavia, se il computer viene rimosso dal cluster e quindi aggiunto nuovamente, i certificati a livello di computer andranno persi.

Panoramica funzionale e requisiti

Un amministratore può utilizzare un certificato sull'accessorio per uno dei seguenti motivi:

Per crittografare le conversazioni SMTP con altri MTA che utilizzano TLS (sia le conversazioni in entrata che quelle in uscita).
Per abilitare il servizio HTTPS sull'accessorio per l'accesso alla GUI tramite HTTPS.
Da utilizzare come certificato client per i Lightweight Directory Access Protocol (LDAP), se il server LDAP richiede un certificato client.
Per garantire una comunicazione sicura tra l'accessorio e un accessorio Cisco Advanced Malware Protection (AMP) Threat Grid.

L'ESA è preconfigurata con un certificato dimostrativo che può essere utilizzato per stabilire connessioni TLS.

Attenzione: Sebbene il certificato dimostrativo sia sufficiente per stabilire una connessione TLS sicura, tenere presente che non può offrire una connessione verificabile. Cisco consiglia di ottenere un certificato X.509 o un certificato PEM (Privacy Enhanced Email) da una CA.

Configurazione e assegnazione di un certificato

Prima di procedere, accertarsi di aver completato i passaggi per la creazione e l'assegnazione di un certificato come descritto nella Guida dell'utente. Questi collegamenti forniscono le istruzioni necessarie:

Verifica

Verifica TLS per HTTPS

1. Accedere alla GUI: passare al dispositivo ESA usando l'URL HTTPS (ad esempio, https://esa.example.com)

2. Apri dettagli certificato: fai clic sull'icona Informazioni sito (in genere un lucchetto) situata a sinistra dell'URL nella barra degli indirizzi del browser.

3. Convalida basata sul browser:

r. Google Chrome: fare clic sull'icona Lucchetto > La connessione è sicura > Il certificato è valido.

b. Microsoft Edge: fare clic sull'icona Lucchetto > Connessione protetta > icona Certificato (in alto a destra del riquadro a comparsa).

c. Mozilla Firefox: fare clic sull'icona Lucchetto > Connessione protetta > Ulteriori informazioni > Visualizza certificato.

4. Conferma validità: esaminare "Periodo di validità" o "Stato" nel visualizzatore certificati. Se il certificato viene visualizzato comeValid, la connessione è protetta e il certificato viene riconosciuto correttamente dal browser.

Verifica TLS per recapito o ricezione e-mail

Mentre la funzione Message Tracking nella GUI fornisce queste informazioni, l'uso dell'interfaccia della riga di comando (CLI) è spesso più efficiente per l'analisi in blocco o la risoluzione rapida dei problemi.

Per esaminare lo stato TLS dalla CLI, attenersi alla procedura seguente:

Accedere alla CLI: accedere all'accessorio tramite SSH utilizzando le credenziali amministrative.
Eseguire il comando Grep: utilizzare greputility per filtrare i log di posta per le attività relative a TLS.
Analizza ID connessione: rivedere l'output in base al tipo di connessione:
- ICID (Incoming Connection ID): rivedere queste voci per verificare se sono presenti connessioni ricevute sul listener.
- DCID (ID connessione recapito): rivedere queste voci per verificare che TLS non sia recapitato all'MTA dell'hop successivo.

Nota: Per limitare i risultati, è possibile cercare stringhe specifiche come "TLS riuscito" o "TLS non riuscito".

Esempio di TLS riuscito alla ricezione della posta

(Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

Esempio di errore TLS alla ricezione della posta

(Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Esempio di TLS riuscito durante il recapito della posta

(Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Esempio di errore TLS durante il recapito della posta

(Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

Verifica TLS per LDAP

Sebbene nei log di ldap_debug non venga visualizzata una stringa TLS specifica, è possibile determinare se TLS è riuscito o meno esaminando la risposta LDAP e le porte in uso. Per le connessioni LDAPS, in genere indica la porta 3269 per Active Directory o la porta 636 per OpenLDAP.

Esempio di TLS per LDAP

(Machine esa.example.com) (SERVICE)> tail ldap_debug

Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580

Nota: Per un'analisi più dettagliata del traffico LDAP e dell'attività TLS, si consiglia di acquisire i pacchetti di rete sugli host e sulle porte rilevanti.

Risoluzione dei problemi

Questa sezione descrive come risolvere i problemi relativi al TLS di base sull'ESA.

Verifica certificati intermedi

Cercare i certificati intermedi duplicati, in particolare quando i certificati correnti vengono aggiornati anziché essere creati. I certificati intermedi possono essere modificati o concatenati in modo non corretto e il certificato può caricare più certificati intermedi. Ciò può introdurre problemi di concatenamento e verifica dei certificati.

Abilita notifiche per errori di connessione TLS richiesti

È possibile configurare l'ESA in modo che invii un avviso se la negoziazione TLS non riesce quando i messaggi vengono recapitati a un dominio che richiede una connessione TLS. Il messaggio di avviso contiene il nome del dominio di destinazione per la negoziazione TLS non riuscita. L'ESA invia il messaggio di allarme a tutti i destinatari impostati per ricevere gli allarmi del livello di gravità dell'allarme per i tipi di allarme di sistema.

Nota: Si tratta di un'impostazione globale, pertanto non può essere impostata per ogni dominio.

Completare la procedura seguente per abilitare gli avvisi di connessione TLS:

Selezionare Mail Policies > Destination Controls (Policy di posta > Controlli destinazione).
Fare clic su Modifica impostazioni globali.
Selezionare la casella di controllo Invia un avviso quando una connessione TLS necessaria non riesce.

Suggerimento: È possibile configurare questa impostazione anche con il comando destconfig > setup CLI.

L'ESA registra inoltre le istanze per le quali è richiesto TLS per un dominio, ma non è stato possibile utilizzarlo nei mail_logs dell'accessorio. Questo si verifica quando viene soddisfatta una delle seguenti condizioni:

L'MTA remoto non supporta ESMTP (ad esempio, non ha capito il comando EHLO dell'ESA).
L'agente di trasferimento messaggi remoto supporta ESMTP, ma il comando STARTTLS non è incluso nell'elenco delle estensioni annunciate nella risposta EHLO.
L'agente di trasferimento messaggi remoto ha annunciato l'estensione STARTTLS, ma ha risposto con un errore quando l'ESA ha inviato il comando STARTTLS.

Risoluzione dei problemi con strumenti di terze parti

Verificare che il certificato sia applicato al listener in cui l'accessorio riceve la posta in entrata prima di iniziare il test.

È possibile utilizzare strumenti di terze parti, ad esempio CheckTLS.com e SSL-Tools.net, per verificare il corretto concatenamento del certificato durante la ricezione. Esaminare la documentazione relativa a ogni strumento per informazioni su come convalidare il certificato.

Nota: Se è in uso un certificato autofirmato, è previsto un errore.

Risoluzione

Se è in uso un certificato firmato dall'autorità di certificazione e la verifica TLS non riesce, verificare che i seguenti elementi corrispondano:

Nome comune certificato
Nome host (su GUI > Rete > Interfaccia)
Nome host record MX: questa è la colonna MX Server nella tabella TestReceiver.

Informazioni correlate

Cisco Email Security Appliance - Guide per l'utente

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
4.0	25-Feb-2026	Aggiornamento della formattazione, della sintassi e dei passaggi utilizzando le versioni AsyncOS recenti.
3.0	29-Mar-2024	Certificazione
1.0	05-Aug-2015	Versione iniziale

Contributo dei tecnici Cisco

Dennis McCabe Jr
Cisco Technical Leader

Questo documento ti è stato utile?

Feedback

Contattaci

Apri una richiesta di assistenza
(Occorre un contratto di servizio Cisco)

Questo documento si applica a questi prodotti

Secure Email Virtual Gateway