Verifica e risoluzione dei problemi dei certificati TLS su Cisco ESA

Opzioni per il download

  • PDF     (271.4 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:15 giugno 2026
ID documento:118844

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come creare, configurare e risolvere i problemi relativi ai certificati TLS su Cisco Email Security Appliance (ESA).

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

L'implementazione TLS sull'ESA fornisce privacy per la trasmissione point-to-point delle e-mail tramite crittografia. Questa implementazione consente a un amministratore di importare un certificato e una chiave privata da un servizio CA (Certification Authority) o di utilizzare un certificato autofirmato.

Cisco AsyncOS for Email Security supporta l'estensione STARTTLS al protocollo SMTP (Simple Mail Transfer Protocol) (Secure SMTP over TLS).

note-icon

Nota: Questo documento descrive come installare certificati a livello di cluster con l'uso della funzione di gestione centralizzata sull'ESA. I certificati possono essere applicati a livello di macchina; tuttavia, se il computer viene rimosso dal cluster e quindi aggiunto nuovamente, i certificati a livello di computer andranno persi.

Panoramica funzionale e requisiti

Un amministratore può utilizzare un certificato sull'accessorio per uno dei seguenti motivi:

  • Per crittografare le conversazioni SMTP con altri MTA che utilizzano TLS (sia le conversazioni in entrata che quelle in uscita).
  • Per abilitare il servizio HTTPS sull'accessorio per l'accesso alla GUI tramite HTTPS.
  • Da utilizzare come certificato client per i Lightweight Directory Access Protocol (LDAP), se il server LDAP richiede un certificato client.
  • Per garantire una comunicazione sicura tra l'accessorio e un accessorio Cisco Advanced Malware Protection (AMP) Threat Grid.

L'ESA è preconfigurata con un certificato dimostrativo che può essere utilizzato per stabilire connessioni TLS.

caution-icon

Attenzione: Sebbene il certificato dimostrativo sia sufficiente per stabilire una connessione TLS sicura, tenere presente che non può offrire una connessione verificabile. Cisco consiglia di ottenere un certificato X.509 o un certificato PEM (Privacy Enhanced Email) da una CA.

Configurazione e assegnazione di un certificato

Prima di procedere, accertarsi di aver completato i passaggi per la creazione e l'assegnazione di un certificato come descritto nella Guida dell'utente. Questi collegamenti forniscono le istruzioni necessarie:

Verifica

Verifica TLS per HTTPS

1. Accedere alla GUI:Passare al dispositivo ESA usando l'URL HTTPS (ad esempio, https://esa.example.com).

2. Apri dettagli certificato:fare clic sull'icona Informazioni sito (in genere un lucchetto) situata a sinistra dell'URL nella barra degli indirizzi del browser.

3. Convalida basata sul browser:

     r. Google Chrome: fare clic sull'iconaLucchetto>La connessione è sicura>Il certificato è valido.

     b. Microsoft Edge: fare clic sull'iconaLucchetto>La connessione è sicura>Icona Certificato (in alto a destra del riquadro a comparsa).

     c. Mozilla Firefox: fare clic sull'iconaLucchetto>Connessione protetta>Ulteriori informazioni>Visualizza certificato.

4. Conferma validità: rivedere "Periodo di validità" o "Stato" nel visualizzatore certificati. Se il certificato viene visualizzato comeValid, la connessione è protetta e il certificato viene riconosciuto correttamente dal browser.

Verifica TLS per recapito o ricezione e-mail

Mentre la funzione Message Tracking nella GUI fornisce queste informazioni, l'uso dell'interfaccia della riga di comando (CLI) è spesso più efficiente per l'analisi in blocco o la risoluzione rapida dei problemi.

Esaminare questi passaggi per esaminare lo stato TLS tramite la CLI:

  1. Accedere alla CLI:accedere all'accessorio tramite SSH utilizzando le credenziali amministrative.
  2. Eseguire il comando Grep:utilizzare greputility per filtrare i log di posta per le attività relative a TLS.
  3. Analizza ID connessione:rivedere l'output in base al tipo di connessione:
    • ICID (Incoming Connection ID): rivedere queste voci per verificare se TLS sta ricevendo connessioni sul listener.
    • DCID (ID connessione recapito): rivedere queste voci per verificare che TLS non sia stato recapitato alle connessioni all'MTA dell'hop successivo.
note-icon

Nota: Per limitare i risultati, è possibile cercare stringhe specifiche come "TLS riuscito" o "TLS non riuscito".

Esempio di TLS riuscito alla ricezione della posta

(Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Esempio di errore TLS alla ricezione della posta

(Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

Esempio di TLS riuscito durante il recapito della posta

(Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

Esempio di errore TLS durante il recapito della posta

(Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

Verifica TLS per LDAP

Sebbene nei log di ldap_debug non venga visualizzata una stringa TLS specifica, è possibile determinare se TLS è riuscito o meno esaminando la risposta LDAP e le porte in uso. Per le connessioni LDAPS, in genere indica la porta 3269 per Active Directory o la porta 636 per OpenLDAP.

Esempio di TLS per LDAP

(Machine esa.example.com) (SERVICE)> tail ldap_debug

Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580

note-icon

Nota: Per un'analisi più dettagliata del traffico LDAP e dell'attività TLS, Cisco consiglia di acquisire i pacchetti di rete sugli host e sulle porte rilevanti.

Risoluzione dei problemi

Questa sezione descrive come risolvere i problemi relativi al TLS di base sull'ESA.

Verifica certificati intermedi

Cercare i certificati intermedi duplicati quando vengono aggiornati i certificati correnti anziché crearne di nuovi. I certificati intermedi possono essere modificati o concatenati in modo non corretto e il certificato può caricare più certificati intermedi. Ciò può introdurre problemi di concatenamento e verifica dei certificati.

Abilita notifiche per errori di connessione TLS richiesti

È possibile configurare l'ESA in modo che invii un avviso se la negoziazione TLS non riesce quando i messaggi vengono recapitati a un dominio che richiede una connessione TLS. Il messaggio di avviso contiene il nome del dominio di destinazione per la negoziazione TLS non riuscita. L'ESA invia il messaggio di allarme a tutti i destinatari impostati per ricevere gli allarmi del livello di gravità dell'allarme per i tipi di allarme del sistema.

note-icon

Nota: Si tratta di un'impostazione globale, pertanto non può essere impostata per ogni dominio.

Completare la procedura seguente per abilitare gli avvisi di connessione TLS:

  1. Passare a Mail Policies > Destination Controls.
  2. Fare clic su Modifica impostazioni globali.
  3. Selezionare la casella di controllo Invia un avviso quando una connessione TLS necessaria non riesce.
tip-icon

Suggerimento: Questa impostazione può essere configurata anche con il comando destconfig > setup CLI.

L'ESA registra inoltre le istanze per le quali è richiesto TLS per un dominio, ma non è stato possibile utilizzarlo nei mail_logs dell'accessorio. Questo si verifica quando viene soddisfatta una delle seguenti condizioni:

  • L'MTA remoto non supporta ESMTP (ad esempio, non ha capito il comando EHLO dell'ESA).
  • L'agente di trasferimento messaggi remoto supporta ESMTP, ma il comando STARTTLS non è incluso nell'elenco delle estensioni annunciate nella risposta EHLO.
  • L'agente di trasferimento messaggi remoto ha annunciato l'estensione STARTTLS, ma ha risposto con un errore quando l'ESA ha inviato il comando STARTTLS.

Risoluzione dei problemi mediante strumenti di terze parti

  • Verificare che il certificato sia applicato al listener in cui l'accessorio riceve la posta in entrata prima di iniziare il test.

È possibile utilizzare strumenti di terze parti, ad esempio CheckTLS.com e SSL-Tools.net, per verificare il corretto concatenamento del certificato durante la ricezione. Esaminare la documentazione relativa a ogni strumento per informazioni su come convalidare il certificato.

note-icon

Nota: Se è in uso un certificato autofirmato, è previsto un errore.

Risoluzione

Se è in uso un certificato firmato dall'autorità di certificazione e la verifica TLS non riesce, verificare che i seguenti elementi corrispondano:

  • Nome comune certificato
  • Nome host (GUI > Rete > Interfaccia)
  • Nome host record MX: colonna di MX Server nella tabella TestReceiver

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
5.0
15-Jun-2026
Spaziatura, ortografia e struttura della frase aggiornate.
4.0
25-Feb-2026
Aggiornamento della formattazione, della sintassi e dei passaggi utilizzando le versioni AsyncOS recenti.
3.0
29-Mar-2024
Certificazione
1.0
05-Aug-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Dennis McCabe Jr
    Cisco Technical Leader

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti