소개
이 문서에서는 Cisco ESA(Email Security Appliance)에서 AsyncOS for Email Security 버전 9.5 이상으로 업그레이드한 후 TLS 통신 문제가 발생하거나 웹 인터페이스에 액세스하는 경우 적용되는 필수 단계에 대해 설명합니다.
레거시 인증서(MD5)로 인해 9.5 AsyncOS for Email Security 업그레이드 이상에서 TLSv1.2 통신이 실패합니다
참고: 다음은 어플라이언스에 적용된 현재 데모 인증서에 대한 해결 방법입니다. 그러나 아래 단계는 모든 MD5 서명 인증서에 어플라이언스를 적용할 수도 있습니다.
AsyncOS for Email Security 버전 9.5 이상으로 업그레이드할 때 여전히 사용 중이고 배달, 수신 또는 LDAP에 적용된 레거시 IronPort 데모 인증서는 일부 도메인과 TLSv1/TLSv1.2를 통해 통신하는 동안 오류가 발생할 수 있습니다. TLS 오류로 인해 모든 인바운드 또는 아웃바운드 세션이 실패합니다.
인증서가 HTTPS 인터페이스에 적용되는 경우 최신 웹 브라우저는 어플라이언스의 웹 인터페이스에 액세스하지 못합니다.
메일 로그는 다음 예와 유사해야 합니다.
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
이 오류는 이전 인증서인 MD5에 적용된 서명 알고리즘으로 인해 발생합니다. 그러나 연결 어플라이언스/브라우저와 연결된 인증서는 SHA 서명 기반 알고리즘만 지원합니다. MD5 서명이 있는 이전 데모 인증서는 어플라이언스에 있지만 새 SHA 기반 데모 인증서와 동시에 위의 오류는 MD5 서명 기반 인증서가 지정된 섹션(예: 수신, 전달 등)에 적용된 경우에만 나타납니다
다음은 새 데모 인증서 외에 이전 MD5 인증서가 모두 있는 어플라이언스의 cli에서 가져온 예입니다(참고: 새 인증서(데모)는 이전 데모 인증서보다 만료 날짜가 더 길고 최신 SHA 알고리즘이어야 함).
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
해결 조치
1. 웹(UI)으로 이동합니다. 네트워크 > 인증서
2. 현재 이전 인증서가 설치되어 있고 새 SHA 데모 인증서도 있는지 확인합니다.
3. 이전 데모 인증서가 적용된 위치를 기준으로 새 데모 인증서로 대체합니다.
일반적으로 이러한 인증서는 다음 섹션에서 적용하는 것을 확인할 수 있습니다.
- Network(네트워크) > Listeners(리스너) > Then name of the listener(리스너 이름 > 인증서)
- Mail Policies(메일 정책) > Destination Controls(대상 제어) > Edit Global Settings(전역 설정 편집) > Certificate(인증서)
- Network(네트워크) > IP Interface(IP 인터페이스) > Choose interface associated with GUI access(GUI 액세스와 연결된 인터페이스 선택) > HTTPS Certificate(HTTPS 인증서)
- System Administration(시스템 관리) > LDAP > Edit Settings(설정 수정) > Certificate(인증서)
4. 모든 인증서를 교체하면 명령줄에서 TLS 통신이 성공했음을 확인합니다.
TLSv1.2를 사용하여 협상되는 작업 TLS 통신의 예:
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
CLI 수정 작업(GUI에 액세스할 수 없는 경우)
HTTPS 서비스를 위해 인증서가 활성화된 각 IP 인터페이스에서 인증서를 수정해야 할 수 있습니다. 인터페이스에 사용 중인 인증서를 수정하려면 CLI에서 다음 명령을 실행하십시오.
- interfaceconfig를 입력합니다.
- Edit를 선택합니다.
- 수정할 인터페이스의 번호를 입력합니다.
- 제시된 각 질문에 대한 현재 설정을 수락하려면 return 키를 사용합니다. 적용할 인증서에 대한 옵션이 표시되면 데모 인증서를 선택합니다.
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
모든 컨피그레이션 질문이 완료될 때까지 설정 프롬프트의 단계를 완료합니다.
-
기본 CLI 프롬프트로 종료하려면 return 키를 사용합니다.
- 구성에 대한 변경 사항을 저장하는 데 사용합니다.
참고: 인터페이스에서 사용 중인 인증서를 변경한 후 변경 사항을 커밋해야 합니다.
관련 정보