はじめに
TLSを使用してCisco Eメールセキュリティアプライアンス(ESA)経由でEメールを配信する場合は、「検証」または「ホスト検証」オプションを使用して証明書の検証を実行できます。 これは、TLSを介した電子メールの配信を保護する上で重要な部分であり、この検証がどのように実行されるかを知ることが重要です。
Cisco E メール セキュリティ アプライアンス(ESA)の証明書認証アルゴリズムとは何ですか。
実際には2つのアルゴリズムがあり、1つは「Verify」オプション用で、もう1つは「Hosted Verify」オプション用です。 さまざまなシナリオに対応するため、通常は「Hosted Verify」オプションを使用することを推奨します。
背景説明
- このドキュメントは、AsyncOS 8.0.1以降のバージョンに基づいています。 以前のバージョンのAsyncOSでは、動作が多少異なる場合があります。
- 特に指定しない限り、ワイルドカードによる一致がサポートされます
- 各アルゴリズムは、一致が成功した後で停止し、後続のチェックは評価されません
- CLIコマンドtlsverifyでは「Verify Algorithm」を使用します。
定義
- CN:これは共通名で、証明書のサブジェクトの一部です
- SAN:これはX.509のサブジェクト代替名(SAN)拡張です。このドキュメントでは、特にSANフィールドに含まれるDNS名を示します。
- 電子メールドメイン:受信者の電子メールアドレスのドメイン部分です。 たとえば、「user@example.com」に配信する場合、電子メールドメインは「example.com」です
- MXホスト名:電子メールドメインのMXレコードのホスト名です
- PTRホスト名:ESAが接続しているIPアドレスのDNS PTRルックアップによって返されるホスト名です
- SMTPルートホスト名:この宛先にSMTPルートが設定されている場合、これはSMTPルートで使用されるホスト名です
ホスト型検証アルゴリズム
- 証明書にSAN属性が含まれている場合は、これらの属性だけが使用され、CNは無視されます。 CNは、証明書にSAN属性がない場合にのみ使用されます。 これはRFC 6125に準拠しています。
- 証明書が電子メールドメインに対してチェックされます。
- 証明書は、存在する可能性のあるすべてのSMTPルートホスト名と照合されます。
- 証明書がMXホスト名と照合されます。
- 前のチェックが何も成功しなかった場合、検証は失敗します。
アルゴリズムの確認
- SAN属性は電子メールドメインに対してチェックされます。
- CNが電子メールドメインに対してチェックされます。
注:ワイルドカードによる一致はサポートされていません。
- SAN属性がPTRホスト名と照合されます。
- 前のチェックが何も成功しなかった場合、検証は失敗します。