TLS-certificaten controleren en oplossen op Cisco ESA

Downloadopties

  • PDF     (271.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 februari 2026
Document-id:118844

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u TLS-certificaten kunt maken, configureren en oplossen van problemen met de Cisco Email Security Appliance (ESA).

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De TLS-implementatie op de ESA biedt privacy voor point-to-point verzending van e-mails door middel van encryptie. Met deze implementatie kan een beheerder een certificaat en privésleutel importeren van een service van de certificeringsinstantie of een zelf ondertekend certificaat gebruiken.

    Cisco AsyncOS for Email Security ondersteunt de STARTTLS-extensie voor Simple Mail Transfer Protocol (SMTP) (Secure SMTP over TLS).

    note-icon

    Opmerking: in dit document wordt beschreven hoe u certificaten op clusterniveau kunt installeren met behulp van de functie Gecentraliseerd beheer op het ESA. Certificaten kunnen op machineniveau worden toegepast. Als de machine echter uit het cluster wordt verwijderd en vervolgens weer wordt toegevoegd, gaan de certificaten op machineniveau verloren.

    Functioneel overzicht en vereisten

    Een beheerder kan een certificaat op het toestel gebruiken om een van de volgende redenen:

    • Om de SMTP-gesprekken te versleutelen met andere MTA's die TLS gebruiken (zowel inkomende als uitgaande gesprekken).
    • De HTTPS-service op het toestel inschakelen voor toegang tot de GUI via HTTPS.
    • Voor gebruik als clientcertificaat voor Lightweight Directory Access Protocols (LDAP's), als voor de LDAP-server een clientcertificaat vereist is.
    • Veilige communicatie mogelijk maken tussen het toestel en een Cisco Advanced Malware Protection (AMP) Threat Grid Appliance.

    De ESA wordt geleverd met een voorgeconfigureerd demonstratiecertificaat dat kan worden gebruikt om TLS-verbindingen tot stand te brengen.

    caution-icon

    Let op: Hoewel het demonstratiecertificaat voldoende is voor het tot stand brengen van een beveiligde TLS-verbinding, moet u er rekening mee houden dat het geen verifieerbare verbinding kan bieden. Cisco raadt u aan om een X.509- of Privacy Enhanced Email (PEM)-certificaat van een CA te verkrijgen.

    Een certificaat configureren en toewijzen

    Voordat u doorgaat, moet u controleren of u de stappen voor het maken en toewijzen van een certificaat hebt doorlopen, zoals beschreven in de gebruikershandleiding. Deze links bevatten de nodige instructies:

    Verifiëren

    TLS voor HTTPS verifiëren

    1. Toegang tot de GUI: Navigeer naar uw ESA-apparaat met behulp van de HTTPS-URL (bijvoorbeeld https://esa.example.com)

    2. Certificaatgegevens openen: Klik op het pictogram Sitegegevens (meestal een hangslot) links van de URL in de adresbalk van de browser.

    3. Valideren op basis van uw browser:

         a. Google Chrome: Klik op het hangslotpictogram > Verbinding is beveiligd > Certificaat is geldig.

         b. Microsoft Edge: Klik op het hangslotpictogram > Verbinding is beveiligd > Certificaatpictogram (rechtsboven in de flyout).

         c. Mozilla Firefox: Klik op het hangslotpictogram > Beveiligde verbinding > Meer informatie > Certificaat weergeven.

    4. Geldigheid bevestigen: bekijk de "Geldigheidsperiode" of "Status" in de certificaatviewer. Als het certificaat wordt weergegeven als geldig, is de verbinding beveiligd en wordt het certificaat correct herkend door de browser.

    TLS verifiëren voor verzending of ontvangst per e-mail

    Hoewel Message Tracking in de GUI deze informatie biedt, is het gebruik van de Command Line Interface (CLI) vaak efficiënter voor bulkcontrole of snelle probleemoplossing.

    Volg deze stappen om de TLS-status te bekijken via de CLI:

    1. Meld u aan bij de CLI: Open het toestel via SSH met uw beheerdersreferenties.
    2. Voer de opdracht Grep uit: Gebruik het hulpprogramma Greputility om de maillogs te filteren op TLS-gerelateerde activiteiten.
    3. Verbindings-ID's analyseren: controleer de uitvoer op basis van het verbindingstype:
      • ICID (Incoming Connection ID): Controleer deze gegevens om te controleren of TLS-verbindingen zijn ontvangen op de Listener.
      • DCID (Delivery Connection ID): Controleer deze gegevens om te controleren of TLS-verbindingen worden geleverd aan de volgende MTA-hop.
    note-icon

    Opmerking: u kunt zoeken naar specifieke tekenreeksen zoals "TLS-succes" of "TLS mislukt" om de resultaten te verfijnen.

    Voorbeeld van TLS-succes bij het ontvangen van e-mail

    (Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
    Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
    Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

    Voorbeeld van TLS-fout bij ontvangst van e-mail

    (Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
    Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
    Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    Voorbeeld van TLS-succes bij het bezorgen van e-mail

    (Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

    Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    Voorbeeld van TLS-fout bij het bezorgen van e-mail

    (Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

    Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
    Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

    TLS voor LDAP verifiëren

    Hoewel de ldap_debug-logs geen specifieke TLS-tekenreeks tonen, kunnen we bepalen of TLS succesvol is of is mislukt door de LDAP-reactie en de poort(en) die wordt (worden) gebruikt te onderzoeken. Voor LDAPS-verbindingen betekent dit doorgaans poort 3269 voor Active Directory of poort 636 voor OpenLDAP.

    TLS Voorbeeld voor LDAP

    (Machine esa.example.com) (SERVICE)> tail ldap_debug

    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580
    note-icon

    Opmerking: voor een meer gedetailleerde analyse van LDAP-verkeer en TLS-activiteit raden we aan netwerkpakketten vast te leggen op de relevante hosts en poorten.

    Problemen oplossen

    In dit gedeelte wordt beschreven hoe u elementaire TLS-problemen met de ESA kunt oplossen.

    Tussenliggende certificaten controleren

    Zoek naar dubbele tussenliggende certificaten, vooral wanneer de huidige certificaten worden bijgewerkt in plaats van een nieuw certificaat te maken. De tussenliggende certificaten kunnen worden gewijzigd of verkeerd worden geketend, en het certificaat kan meerdere tussenliggende certificaten uploaden. Dit kan leiden tot certificaatkoppeling en verificatieproblemen.

    Meldingen voor vereiste TLS-verbindingsfouten inschakelen

    U kunt de ESA configureren om een waarschuwing te verzenden als de TLS-onderhandeling mislukt wanneer berichten worden geleverd aan een domein waarvoor een TLS-verbinding vereist is. Het waarschuwingsbericht bevat de naam van het doeldomein voor de mislukte TLS-onderhandeling. De ESA stuurt het waarschuwingsbericht naar alle ontvangers die zijn ingesteld om waarschuwingen met betrekking tot de ernst van de waarschuwing te ontvangen voor systeemwaarschuwingstypen.

    note-icon

    Opmerking: Dit is een globale instelling, dus deze kan niet per domein worden ingesteld.

    Voer de volgende stappen uit om waarschuwingen voor TLS-verbindingen in te schakelen:

    1. Navigeer naar E-mailbeleid > Bestemmingselementen.
    2. Klik op Algemene instellingen bewerken.
    3. Schakel het selectievakje Waarschuwing verzenden wanneer een vereiste TLS-verbinding mislukt in.
    tip-icon

    Tip: U kunt deze instelling ook configureren met de opdracht destconfig > setup CLI.

    De ESA registreert ook de instanties waarvoor TLS vereist is voor een domein, maar kan niet worden gebruikt in de mail_logs van het toestel. Dit gebeurt wanneer aan een van deze voorwaarden is voldaan:

    • De externe MTA biedt geen ondersteuning voor ESMTP (zo begreep de MTA het EHLO-commando van de ESA niet).
    • De externe MTA ondersteunt ESMTP, maar de opdracht STARTTLS stond niet in de lijst met extensies die in de EHLO-reactie werden geadverteerd.
    • De externe MTA adverteerde voor de STARTTLS-extensie, maar reageerde met een fout toen de ESA de STARTTLS-opdracht verstuurde.

    Problemen oplossen met tools van derden

    • Zorg ervoor dat het certificaat wordt toegepast op de Listener waar het toestel inkomende post ontvangt voordat u begint met de test.

    Tools van derden zoals CheckTLS.com en SSL-Tools.net kunnen worden gebruikt om de juiste koppeling van het certificaat bij het ontvangen te verifiëren. Bekijk de documentatie voor elk hulpmiddel om te begrijpen hoe u het certificaat kunt valideren.

    note-icon

    Opmerking: als een zelf ondertekend certificaat in gebruik is, wordt een fout verwacht.

    resolutie

    Als een CA-ondertekend certificaat in gebruik is en TLS-verifieren mislukt, controleert u of deze items overeenkomen met:

    • Gemeenschappelijke naam van certificaat
    • Hostnaam (bij GUI > Netwerk > Interface)
    • MX-recordhostnaam: dit is de MX Server-kolom in de TestReceiver-tabel.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    25-Feb-2026
    Opmaak, syntaxis en stappen bijwerken met behulp van recente AsyncOS-versies.
    3.0
    29-Mar-2024
    hercertificering
    1.0
    05-Aug-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Dennis McCabe Jr
      Cisco Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten