이전 인증서(MD5) 통신 TLSv1.2가 실패하도록 AsyncOS for Email Security 업그레이드 9.5 이상

소개

이 문서에서는 Cisco ESA(Email Security Appliances)에서 AsyncOS for Email Security 버전 9.5 이상으로 업그레이드한 후 TLS 통신 문제가 발생하거나 웹 인터페이스에 액세스하는 경우 적용하는 데 필요한 단계를 설명합니다.

레거시 인증서(MD5)로 인해 9.5 AsyncOS for Email Security 업그레이드 및 이후 버전에서 TLSv1.2 통신이 실패합니다.

참고:다음은 어플라이언스에 적용된 현재 데모 인증서에 대한 해결 방법입니다.그러나 아래 단계는 모든 MD5 서명 인증서에도 적용될 수 있습니다.

AsyncOS for Email Security 버전 9.5 이상으로 업그레이드할 때 전송, 수신 또는 LDAP에 계속 사용 및 적용되는 레거시 IronPort 데모 인증서는 일부 도메인과 TLSv1/TLSv1.2를 통해 통신하는 동안 오류가 발생할 수 있습니다.  TLS 오류로 인해 모든 인바운드 또는 아웃바운드 세션이 실패합니다.

인증서가 HTTPS 인터페이스에 적용되면 최신 웹 브라우저가 어플라이언스의 웹 인터페이스에 액세스하지 못합니다.

메일 로그는 다음 예와 비슷해야 합니다.

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

이 오류는 이전 인증서에 적용된 서명 알고리즘이 MD5로 인해 발생합니다.그러나 연결 어플라이언스/브라우저와 연결된 인증서는 SHA 서명 기반 알고리즘만 지원합니다.MD5 서명이 있는 이전 데모 인증서는 어플라이언스에 있는 동시에 MD5 서명 기반 인증서가 지정된 섹션(예: 수신, 전달 등)에 적용되는 경우에만 위의 오류가 새 SHA 기반 데모 인증서에 나타납니다.

다음은 새 데모 인증서 외에 이전 MD5 인증서가 모두 있는 어플라이언스의 CLI에서 가져온 예입니다(참고:최신 인증서(데모)는 SHA 알고리즘의 최신 버전이어야 하며 이전 데모 인증서보다 더 긴 만료 날짜여야 합니다.

List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days 

해결 조치

1 .    웹(UI)로 이동합니다.네트워크 > 인증서
2 .    현재 이전 인증서가 설치되어 있고 새 SHA 데모 인증서가 있는지 확인합니다.
3 .    이전 데모 인증서가 적용된 위치에 따라 새 데모 인증서로 대체합니다.

일반적으로 이러한 인증서는 다음 섹션에서 적용할 수 있습니다.

• Network(네트워크) > Listeners(리스너) > Then name of the listener(리스너 이름) > Certificate(인증서)
• 메일 정책 > 대상 제어 > 전역 설정 편집 > 인증서
• Network(네트워크) > IP Interface(IP 인터페이스) > Choose interface associated with GUI access(GUI 액세스와 연결된 인터페이스 선택) > HTTPS Certificate(HTTPS 인증서)
• 시스템 관리 > LDAP > 설정 편집 > 인증서

4. 모든 인증서를 교체한 후 명령행에서 TLS 통신이 성공적으로 수행되었는지 확인합니다.

TLSv1.2를 사용하여 협상되는 TLS 통신 작업의 예:

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

CLI 수정 작업(GUI에 액세스할 수 없는 경우)

HTTPS 서비스에 대해 활성화된 인증서가 있는 각 IP 인터페이스에서 인증서를 수정해야 할 수 있습니다. 인터페이스에 사용 중인 인증서를 수정하려면 CLI에서 다음 명령을 실행하십시오.

1. interfaceconfig를 입력합니다.
2. 편집을 선택합니다.
3. 수정할 인터페이스의 번호를 입력합니다.
4. 제공된 각 질문에 대한 현재 설정을 적용하려면 return 키를 사용합니다. 적용할 인증서에 대한 옵션이 표시되면 데모 인증서를 선택합니다.

1. 1. Ironport Demo Certificate
   2. Demo
   Please choose the certificate to apply:
   [1]> 2
   
   You may use "Demo", but this will not be secure.
   Do you really wish to use the "Demo" certificate? [N]> Y

5. 모든 컨피그레이션 질문이 완료될 때까지 설정 단계별로 단계별로 단계를 완료합니다.

6. 반환 키를 사용하여 기본 CLI 프롬프트로 종료합니다.

7. 컨피그레이션에 대한 변경 사항을 저장하는 데 사용합니다.

참고: 인터페이스에서 사용 중인 인증서를 변경한 후 변경 사항을 커밋해야 합니다.

관련 정보

• ESA에서 TLS를 위한 포괄적인 설정 가이드
• Cisco Email Security Appliance − 엔드 유저 가이드
• Cisco Security Management Appliance - 최종 사용자 가이드
• 기술 지원 및 문서 − Cisco Systems