Inleiding
Dit document beschrijft de configuratie van het TLS v1.3-protocol voor Cisco Secure Email and Web Manager (EWM)
Voorwaarden
Algemene kennis van de SEWM-instellingen en -configuratie is gewenst.
Gebruikte componenten
- Cisco Secure Email Web Manager (SEWM) AsyncOS 15.5.1 en nieuwer.
- Instellingen voor SSL-configuratie.
"De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als je netwerk live is, zorg er dan voor dat je de potentiële impact van elk commando begrijpt."
Overzicht
Het SEWM heeft het TLS v1.3-protocol geïntegreerd om communicatie te versleutelen voor HTTPS-gerelateerde services; Classic UI, NGUI en REST API.
TLS v1.3 Protocol biedt meer veilige communicatie en snellere onderhandelingen als de industrie ernaar streeft om het de standaard te maken.
De SEWM maakt gebruik van de bestaande SSL-configuratiemethode binnen de SEGWebUI of CLI van SSL met een paar opmerkelijke instellingen om te markeren.
- Voorzorgsadviezen bij het configureren van de toegestane protocollen.
- De TLS v1.3-cijfers kunnen niet worden gemanipuleerd.
- TLS v1.3 kan alleen worden geconfigureerd voor GUI HTTPS.
- De opties voor het selecteren van het TLS-protocol tussen TLS v1.0 en TLS v1.3 gebruiken een patroon dat in het artikel nader wordt geïllustreerd.
Configureren
Het SEWM heeft het TLS v1.3-protocol voor HTTPS geïntegreerd in AsycOS 15.5.
Voorzichtigheid is geboden bij het kiezen van de protocolinstellingen om HTTPS-fouten te voorkomen.
Webbrowserondersteuning voor TLS v1.3 is gebruikelijk, hoewel sommige omgevingen aanpassingen vereisen om toegang te krijgen tot het SEWM.
De Cisco SEWM-implementatie van het TLS v1.3-protocol ondersteunt 3 standaardcijfers die niet kunnen worden gewijzigd of uitgesloten binnen het SEWM.
TLS 1.3-cijfers:
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
Configuratie vanuit de WebUI
Navigeer naar > Systeembeheer > SSL-configuratie
- De standaard TLS-protocolselectie na een upgrade naar 15.5 AsyncOS HTTPS omvat alleen TLS v1.1 en TLS v1.2.
- De twee genoemde aanvullende services, Secure LDAP Services en Updater Services, ondersteunen TLS v1.3 niet.

Selecteer "Instellingen bewerken" om de configuratieopties weer te geven.
De opties voor het selecteren van het TLS-protocol voor "Web User Interface" omvatten TLS v1.0, TLS v1.1, TLS v1.2 en TLS v1.3.
- Na een upgrade naar AsyncOS 15.5 worden standaard alleen TLS v1.1- en TLS v1.2-protocollen geselecteerd.

Opmerking: TLS1.0 is standaard uitgeschakeld. TLS v1.0 is nog steeds beschikbaar als de eigenaar ervoor kiest om het in te schakelen.
- De opties in het selectievakje lichten op met de vetgedrukte vakjes met de beschikbare protocollen en de grijze vakjes voor niet-compatibele opties.
- De voorbeeldopties in de afbeelding illustreren de selectievakopties voor de webgebruikersinterface.

Opmerking: wijzigingen in de SSL-configuratie kunnen ertoe leiden dat gerelateerde services opnieuw worden opgestart. Dit veroorzaakt een korte onderbreking van de WebUI-service.

Configuratie vanuit CLI
De EWM staat TLS v1.3 toe op één dienst: WebUI
sma1.example.com> sslconfig
Het uitschakelen van SSLv3 wordt aanbevolen voor de beste beveiliging.
Merk op dat de SSL/TLS-service op externe servers vereist dat de geselecteerde TLS-versies sequentieel zijn. Dus om communicatiefouten te voorkomen, selecteert u altijd een aaneengesloten
set van versies voor elke service. Schakel bijvoorbeeld TLS 1.0 en 1.2 niet in en laat TLS 1.1 uitgeschakeld.
Kies de bewerking die u wilt uitvoeren:
- VERSIES - SSL/TLS-versies in- of uitschakelen
- PEER_CERT_FQDN - Valideer peer-certificaat FQDN-conformiteit voor Alert Over TLS, updater en LDAP.
- PEER_CERT_X509 - Voldoet aan peer-certificaat X509 voor Alert Over TLS, updater en LDAP.
[]> Versies
SSL/TLS-versie in- of uitschakelen voor de services:
Updater - Update Service
WebUI - webgebruikersinterface voor apparaatbeheer
LDAPS - Beveiligde LDAP-services (inclusief verificatie en externe verificatie)
Merk op dat TLSv1.3 niet beschikbaar is voor Updater en LDAPS, alleen WebUI kan worden geconfigureerd met TLSv1.3.
SSL/TLS-versies zijn momenteel ingeschakeld per service: (Y: ingeschakeld, N: uitgeschakeld)
Updater WebUI LDAPS
TLSv1.0 N N N
TLSv1.1 Y N Y
TLSv1.2 Y Y
TLSv1.3 NVT NVT
Selecteer de service waarvoor u SSL/TLS-versies wilt in-/uitschakelen:
1. Updater
2. WebUI
3. LDAPS
4. Alle diensten
[]> 2
Momenteel zijn de protocollen voor WebUI TLSv1.2.
Als u de instelling voor een specifiek protocol wilt wijzigen, selecteert u hieronder een optie:
1. TLSv1.0
2. TLSv1.1
3. TLSv1.2
4. TLSv1.3
[]> 4
De TLSv1.3-ondersteuning voor de webgebruikersinterface voor toestelbeheer is momenteel uitgeschakeld. Wil je het inschakelen? [N]> y
Momenteel zijn voor WebUI (protocollen) ingeschakeld: TLSv1.3, TLSv1.2.
Kies de bewerking die u wilt uitvoeren:
- VERSIES - SSL/TLS-versies in- of uitschakelen
- PEER_CERT_FQDN - Valideer peer-certificaat FQDN-conformiteit voor Alert Over TLS, updater en LDAP.
- PEER_CERT_X509 - Voldoet aan peer-certificaat X509 voor Alert Over TLS, updater en LDAP.
[]>
sma1.example.com> vastleggen
Waarschuwing: wijzigingen in de SSL-configuratie veroorzaken de
deze processen opnieuw starten na Commit - gui, euq_webui.
Dit veroorzaakt een korte onderbreking in SMA-operaties.
Geef een aantal opmerkingen op waarin de wijzigingen worden beschreven:
[]> TLS v1.3 inschakelen
Toegezegde wijzigingen: zo jan 28 23:55:40 2024 EST
GUI opnieuw starten...
GUI opnieuw gestart
EUQ_WEBUI opnieuw starten...
EUQ_WEBUI opnieuw gestart
Wacht even en bevestig dat de WebUI toegankelijk is.
Opmerking: Als u meerdere versies van TLS voor een service selecteert, moet de gebruiker een service en een protocolversie selecteren en vervolgens de selectie van een service en een protocol nogmaals herhalen totdat alle instellingen zijn gewijzigd.
Verifiëren
Deze sectie bevat enkele basistestscenario's en de fouten die worden weergegeven als gevolg van niet-overeenkomende versies of syntaxisfouten.
Controleer de browserfunctionaliteit door een webbrowsersessie te openen naar de EWM WebUI of NGUI die is geconfigureerd met TLSv1.3.
Alle webbrowsers die we hebben getest, zijn al geconfigureerd om TLS v1.3 te accepteren.
- Voorbeeld: stel de browserinstelling in Firefox in om TLS v1.3-ondersteuning uit te schakelen, produceert fouten op zowel de ClassicUI als de NGUI van het toestel.
- Klassieke gebruikersinterface met Firefox geconfigureerd om TLS v1.3 uit te sluiten, als test.
- NGUI zou dezelfde fout ontvangen, met als enige uitzondering het poortnummer 4431 (standaard) binnen de URL.
TLS v1.3 Webui-fout
- Om de communicatie te garanderen, moet u de browserinstellingen controleren om ervoor te zorgen dat TLSv1.3 is opgenomen. (Dit voorbeeld is van Firefox)

- Voorbeeld van de opdracht openssl met een verkeerd getypte cijferwaarde geeft deze foutuitvoer: voorbeeld van een fout in de openssl-verbindingstest als gevolg van een ongeldig cijfer: fout met opdracht: "-ciphersuites TLS_AES_256_GCM_SHA386"
2226823168: FOUT: 1426E089: SSL-routines: ciphersuite_cb: geen codeovereenkomst: ssl/ssl_ciph.c:1299:
- Voorbeeldcurl-opdracht uitgevoerd naar de ng-ui wanneer TLS v1.3 is uitgeschakeld, genereert deze fout.
curl: (35) CURL_SSLVERSION_MAX incompatibel met CURL_SSLVERSION
Gerelateerde informatie