소개
이 문서에서는 Cisco ESA(Email Security Appliances)에서 AsyncOS for Email Security 버전 9.5 이상으로 업그레이드한 후 TLS 통신 문제가 발생하거나 웹 인터페이스에 액세스하는 경우 적용하는 데 필요한 단계를 설명합니다.
레거시 인증서(MD5)로 인해 9.5 AsyncOS for Email Security 업그레이드 및 이후 버전에서 TLSv1.2 통신이 실패합니다.
참고:다음은 어플라이언스에 적용된 현재 데모 인증서에 대한 해결 방법입니다.그러나 아래 단계는 모든 MD5 서명 인증서에도 적용될 수 있습니다.
AsyncOS for Email Security 버전 9.5 이상으로 업그레이드할 때 전송, 수신 또는 LDAP에 계속 사용 및 적용되는 레거시 IronPort 데모 인증서는 일부 도메인과 TLSv1/TLSv1.2를 통해 통신하는 동안 오류가 발생할 수 있습니다. TLS 오류로 인해 모든 인바운드 또는 아웃바운드 세션이 실패합니다.
인증서가 HTTPS 인터페이스에 적용되면 최신 웹 브라우저가 어플라이언스의 웹 인터페이스에 액세스하지 못합니다.
메일 로그는 다음 예와 비슷해야 합니다.
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
이 오류는 이전 인증서에 적용된 서명 알고리즘이 MD5로 인해 발생합니다.그러나 연결 어플라이언스/브라우저와 연결된 인증서는 SHA 서명 기반 알고리즘만 지원합니다.MD5 서명이 있는 이전 데모 인증서는 어플라이언스에 있는 동시에 MD5 서명 기반 인증서가 지정된 섹션(예: 수신, 전달 등)에 적용되는 경우에만 위의 오류가 새 SHA 기반 데모 인증서에 나타납니다.
다음은 새 데모 인증서 외에 이전 MD5 인증서가 모두 있는 어플라이언스의 CLI에서 가져온 예입니다(참고:최신 인증서(데모)는 SHA 알고리즘의 최신 버전이어야 하며 이전 데모 인증서보다 더 긴 만료 날짜여야 합니다.
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
해결 조치
1 . 웹(UI)로 이동합니다.네트워크 > 인증서
2 . 현재 이전 인증서가 설치되어 있고 새 SHA 데모 인증서가 있는지 확인합니다.
3 . 이전 데모 인증서가 적용된 위치에 따라 새 데모 인증서로 대체합니다.
일반적으로 이러한 인증서는 다음 섹션에서 적용할 수 있습니다.
- Network(네트워크) > Listeners(리스너) > Then name of the listener(리스너 이름) > Certificate(인증서)
- 메일 정책 > 대상 제어 > 전역 설정 편집 > 인증서
- Network(네트워크) > IP Interface(IP 인터페이스) > Choose interface associated with GUI access(GUI 액세스와 연결된 인터페이스 선택) > HTTPS Certificate(HTTPS 인증서)
- 시스템 관리 > LDAP > 설정 편집 > 인증서
4. 모든 인증서를 교체한 후 명령행에서 TLS 통신이 성공적으로 수행되었는지 확인합니다.
TLSv1.2를 사용하여 협상되는 TLS 통신 작업의 예:
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
CLI 수정 작업(GUI에 액세스할 수 없는 경우)
HTTPS 서비스에 대해 활성화된 인증서가 있는 각 IP 인터페이스에서 인증서를 수정해야 할 수 있습니다. 인터페이스에 사용 중인 인증서를 수정하려면 CLI에서 다음 명령을 실행하십시오.
- interfaceconfig를 입력합니다.
- 편집을 선택합니다.
- 수정할 인터페이스의 번호를 입력합니다.
- 제공된 각 질문에 대한 현재 설정을 적용하려면 return 키를 사용합니다. 적용할 인증서에 대한 옵션이 표시되면 데모 인증서를 선택합니다.
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
모든 컨피그레이션 질문이 완료될 때까지 설정 단계별로 단계별로 단계를 완료합니다.
-
반환 키를 사용하여 기본 CLI 프롬프트로 종료합니다.
- 컨피그레이션에 대한 변경 사항을 저장하는 데 사용합니다.
참고: 인터페이스에서 사용 중인 인증서를 변경한 후 변경 사항을 커밋해야 합니다.
관련 정보