Cisco E メール セキュリティ アプライアンス（ESA）の証明書認証アルゴリズムとは何ですか。

はじめに

TLSを使用してCisco Eメールセキュリティアプライアンス(ESA)経由でEメールを配信する場合は、「検証」または「ホスト検証」オプションを使用して証明書の検証を実行できます。  これは、TLSを介した電子メールの配信を保護する上で重要な部分であり、この検証がどのように実行されるかを知ることが重要です。

Cisco E メール セキュリティ アプライアンス（ESA）の証明書認証アルゴリズムとは何ですか。

実際には2つのアルゴリズムがあり、1つは「Verify」オプション用で、もう1つは「Hosted Verify」オプション用です。  さまざまなシナリオに対応するため、通常は「Hosted Verify」オプションを使用することを推奨します。

背景説明

• このドキュメントは、AsyncOS 8.0.1以降のバージョンに基づいています。  以前のバージョンのAsyncOSでは、動作が多少異なる場合があります。
• 特に指定しない限り、ワイルドカードによる一致がサポートされます
• 各アルゴリズムは、一致が成功した後で停止し、後続のチェックは評価されません
• CLIコマンドtlsverifyでは「Verify Algorithm」を使用します。

定義

• CN：これは共通名で、証明書のサブジェクトの一部です
• SAN：これはX.509のサブジェクト代替名(SAN)拡張です。このドキュメントでは、特にSANフィールドに含まれるDNS名を示します。
• 電子メールドメイン：受信者の電子メールアドレスのドメイン部分です。  たとえば、「user@example.com」に配信する場合、電子メールドメインは「example.com」です
• MXホスト名：電子メールドメインのMXレコードのホスト名です
• PTRホスト名：ESAが接続しているIPアドレスのDNS PTRルックアップによって返されるホスト名です
• SMTPルートホスト名：この宛先にSMTPルートが設定されている場合、これはSMTPルートで使用されるホスト名です

ホスト型検証アルゴリズム

1. 証明書にSAN属性が含まれている場合は、これらの属性だけが使用され、CNは無視されます。  CNは、証明書にSAN属性がない場合にのみ使用されます。  これはRFC 6125に準拠しています。
2. 証明書が電子メールドメインに対してチェックされます。
3. 証明書は、存在する可能性のあるすべてのSMTPルートホスト名と照合されます。
4. 証明書がMXホスト名と照合されます。
5. 前のチェックが何も成功しなかった場合、検証は失敗します。

アルゴリズムの確認

1. SAN属性は電子メールドメインに対してチェックされます。
2. CNが電子メールドメインに対してチェックされます。 

   注：ワイルドカードによる一致はサポートされていません。

3. SAN属性がPTRホスト名と照合されます。
4. 前のチェックが何も成功しなかった場合、検証は失敗します。