Script de configuração do Azure AD para a Segurança do email de Cisco

Introdução

Este original fornece um script que possa ser executado de um ambiente UNIX/Linux para simplificar o processo usado para criar um certificado auto-assinado e umas etapas exigidas do Microsoft Azure quando necessário para configurar Cisco envie por correio eletrónico a Segurança. Este script pode ser usado para a auto remediação da caixa postal (MARÇO), o conector do microsoft office 365 LDAP, ou o analisador da ameaça Cisco para o escritório 365. Este script é independente e pode ser usado com todas as versões de AsyncOS para a ferramenta de segurança do email (ESA).

Note: Este artigo é um proof-of-concept e desde que como um exemplo base. Quando estas etapas forem testadas com sucesso, este artigo está pretendido primeiramente para a demonstração e os propósitos de ilustração. Os scripts personalizados são fora do espaço e do supportability de Cisco. O centro de assistência técnica da Cisco (TAC) não escreverá, atualizará, ou pesquisará defeitos scripts externos a qualquer hora. Antes que você tente e construa todos os scripts, assegure-se de que você tenha o conhecimento do script quando você constrói o script final.

Note: O tac Cisco e o apoio de Cisco não são autorizados a pesquisar defeitos edições de lado do cliente com Microsoft Exchange, Microsoft Azure AD, ou escritório 365.

Pré-requisitos

Requisitos

Cisco recomenda que você lê e compreende configura Como ajustes da caixa postal do Azure AD e do escritório 365 para o ESA.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Para a finalidade e a execução deste script, é sob a suposição que você tem o OpenSSL instalado. De sua alerta terminal, seja executado que OpenSSL ou versão do OpenSSL a fim verificar a instalação.

Com a finalidade deste artigo, o script será chamado e executado como my_azure.sh. Sinta livre nomear o script como você deseja.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.

Script de configuração do Azure AD para a Segurança do email de Cisco

De um host externo (UNIX/Linux), crie um script e uma cópia e cole este texto:

cancele
ecoe o “#####################################################################################
      my_azure.sh por Robert Sherwin (robsherw@cisco.com) ©2018 Cisco.: |:.: |:.
Usando o OpenSSL, este script criará um certificado auto-assinado para que você use-se dentro
ordem para terminar a configuração dos ajustes da caixa postal para a Segurança do email de Cisco.
Responda por favor às seguintes alertas:
#####################################################################################
”
se que OpenSSL >/dev/null; em seguida
    verificação OpenSSL do eco do “passada: o OpenSSL é instalado!” & versão do OpenSSL
mais
    eco “você não parece ter o OpenSSL instalado.” saída do &&
fi

eco “
Dê entrada com por favor um nome para seu CERT: ”
leia o my_cert

quando [-f $my_cert.key];
faça
    arquivo do eco o “existe, satisfaz dá entrada com um nome para seu CERT: o” && leu o my_cert
feito

eco “
Obrigado!  Os arquivos que serão gerados para seu CERT são: ”

crt=$my_cert.crt
key=$my_cert.key
pem=$my_cert.pem

eco $crt
eco $key
eco $pem
"" do eco

quando verdadeiro; faça
    lido - p “está você pronto para continuar e gerar estes arquivos para sua configuração? $ (tput yn do smso) (y/n)$ (tput sgr0)”
    caso $yn dentro
        [Yy] *) req -x509 -sha256 do OpenSSL - Nós - dias 1825 - newkey rsa:2048 - keyout $key - para fora $crt
rsa do OpenSSL - em $key - para fora $key
gato $key $crt > $pem

"" do eco
base64Thumbprint=`openssl x509 - der do outform - em $crt | dgst do OpenSSL - -sha1 binário | OpenSSL base64`
base64Value=`openssl x509 - der do outform - em $crt | OpenSSL base64 - Um `
pitão do `do keyid= - uuid importação c da “; print(uuid.uuid4())"`
eco “
##########################################################################
Em seguida, $ (smul) copy$ do tput (rmul do tput) o seguinte aos azuis celestes para seu manifesto:
##########################################################################
”
“do eco \ “keyCredentials \”: [
{
\ “mais customKeyIdentifier \”: \"$base64Thumbprint\",
\ “keyId \”: \ “$keyid \”,
\ “tipo \”: \"AsymmetricX509Cert\",
\ “uso \”: \ “verifique \”,
\ “valor \”: \"$base64Value\"
}
],”
eco “
##########################################################################
Então $ (smul) complete$ do tput (rmul do tput) a configuração dos azuis celestes para obter o cliente ID$ $ (smso do tput) (tput sgr0) e o inquilino ID$ $ (smso do tput) (tput sgr0).
##########################################################################
”
ecoe “isto é $ (smso) Thumbprint$ do tput (tput sgr0) para sua configuração ESA: $base64Thumbprint"
ecoe “isto é o certificado Key$ privado $ (smso do tput) (tput sgr0) para sua configuração ESA: $pem
“; ruptura; ;
        [Nn] *) saída; ;
        *) o eco “responde por favor sim ou não”; ;
    ESAC
feito
quando verdadeiro; faça
    lido - p “você deseja rever em detalhe este certificado? $ (tput yn do smso) (y/n)$ (tput sgr0)”
    caso $yn dentro
        [Yy] *) OpenSSL x509 - em $crt - texto; eco “
Obrigado!” ruptura do &&; ;
        [Nn] *) o eco “agradece-lhe!” saída do &&; ;
        *) o eco “responde por favor sim ou não”; ;
    ESAC
feito

Dica: Uma vez que você escreveu o script, incorpore o <script_name> do chmod u+x a fim fazer o script executável.

Um exemplo completo do script na ação deve conduzir a:

my_host$ ./my_azure
#####################################################################################
      my_azure.sh por Robert Sherwin (robsherw@cisco.com) ©2018 Cisco.: |:.: |:.
Usando o OpenSSL, este script criará um certificado auto-assinado para que você use-se dentro
ordem para terminar a configuração dos ajustes da caixa postal para a Segurança do email de Cisco.
Responda por favor às seguintes alertas:
#####################################################################################

verificação do OpenSSL passada: o OpenSSL é instalado!
LibreSSL 2.2.7

Dê entrada com por favor um nome para seu CERT:
technote_example

Obrigado!  Os arquivos que serão gerados para seu CERT são:
technote_example.crt
technote_example.key
technote_example.pem

Está você pronto para continuar e gerar estes arquivos para sua configuração? (y/n) y
Gerando uma chave privada de 2048 bit RSA
.............................................................. +++
............................................. +++
escrevendo a chave privada nova a “technote_example.key”
-----
Você está a ponto de ser pedida para incorporar a informação que será incorporada
em seu pedido do certificado.
O que você está a ponto de entrar é o que é chamado um nome destacado ou um DN.
Há bastante alguns campos mas você pode deixar alguma placa
Para alguns campos haverá um valor padrão,
Se você entra “. ”, o campo será saido vazio.
-----
[]do nome do país (2 rotulam o código): US
[]do nome do estado ou da província (nome completo): North Carolina
[]do nome da localidade (por exemplo, cidade): RTP
[]do nome de organização (por exemplo, empresa): Cisco
[]do nome da unidade organizacional (por exemplo, seção): Serviço do exemplo.
[]do Common Name (por exemplo, nome de host totalmente qualificado): example.local
[]do endereço email: joe.user@example.local
escrevendo a chave RSA


##########################################################################
Em seguida, copie o seguinte aos azuis celestes para seu manifesto:
##########################################################################

“keyCredentials”: [
{
“mais customKeyIdentifier”: “wWHhkWEfuhDHTXPzzmHoSEnjbNM=”,
“keyId”: "338836b8-fc8d-4e1b-9a3f-b252f8368d34",
“tipo”: "AsymmetricX509Cert",
“uso”: “Verifique”,
“valor”: "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"
}
],

##########################################################################
Termine então a configuração dos azuis celestes para obter a identificação de cliente e o inquilino ID.
##########################################################################

Este é o Thumbprint para sua configuração ESA: wWHhkWEfuhDHTXPzzmHoSEnjbNM=
Esta é a chave privada do certificado para sua configuração ESA: technote_example.pem

O script alertá-lo-á rever em detalhe o certificado. Incorpore y ou n a fim terminar o script.

Você deseja rever em detalhe este certificado? (y/n) y
Certificado:
    Dados:
        Versão: 1 (0x0)
        Número de série: 15410674582220606938 (0xd5ddb6e21e668dda)
    Algoritmo da assinatura: sha256WithRSAEncryption
        Expedidor: C=US, ST= North Carolina, L=RTP, O=Cisco, serviço de OU=Example, CN=example.local/emailAddress= joe.user@example.local
        Validez
            Não antes: 18 de outubro 02:00:49 2018 GMT
            Não em seguida: 17 de outubro 02:00:49 2023 GMT
        Assunto: C=US, ST= North Carolina, L=RTP, O=Cisco, serviço de OU=Example, CN=example.local/emailAddress= joe.user@example.local
        Informação de chave pública sujeita:
            Algoritmo da chave pública: rsaEncryption
                Chave pública: (2048 mordidos)
                Módulo:
                    00:a9:58:99:6e:c3:37:e0:31:71:94:1c:a5:cf:21:
                    66:19:af:f7:2a:8c:1e:e9:76:72:35:77:1b:4f:3c:
                    9a:41:ad:45:95:39:29:45:4d:29:96:52:98:c9:67:
                    cb:79:4e:2a:0e:9c:4e:ee:04:cf:85:2e:8a:0c:c2:
                    ff:62:57:11:fd:fe:c0:e8:fd:60:28:4a:f7:66:c4:
                    61:68:d8:b0:a7:99:b5:b2:28:a9:84:5f:1c:4f:92:
                    93:e6:ec:25:be:46:a6:2c:d7:80:f7:18:64:68:de:
                    f3:57:9c:81:a9:a1:0e:b8:3b:35:9a:ed:84:f4:d2:
                    29:ae:19:c6:66:30:a5:09:7a:c4:60:eb:32:2a:68:
                    94:6a:04:35:ff:9e:c8:d0:a8:e5:5c:80:5e:5c:6e:
                    60:7f:26:ea:dd:06:74:fc:3e:54:a1:c9:ee:4f:b8:
                    c0:8f:4a:4d:4c:38:2c:00:68:39:6b:3c:85:49:c3:
                    8b:4c:b3:da:4f:66:a8:db:d3:1b:eb:bb:e4:45:14:
                    32:07:13:59:cf:c8:4a:c5:e3:0b:c9:29:6c:eb:31:
                    b5:e6:48:89:4e:31:52:fa:8d:77:5b:7d:ea:27:1c:
                    8d:a7:75:f6:7e:b5:25:db:30:19:7f:82:0b:53:e5:
                    f9:96:4c:93:cf:c8:40:43:ed:6c:fa:ac:ff:8a:77:
                    72:61
                Exponente: 65537 (0x10001)
    Algoritmo da assinatura: sha256WithRSAEncryption
         42:aa:bb:8b:10:5b:b5:f8:68:ae:b5:a4:ef:7b:82:a1:85:0f:
         46:a5:99:2c:a1:e5:82:cd:54:a4:49:e6:3e:3b:cb:66:22:26:
         63:e3:ba:92:24:7d:89:c0:d5:8c:50:f8:ec:05:be:d2:f6:20:
         de:91:ed:ea:92:96:97:b4:d4:66:98:a5:cf:88:4d:a7:4a:18:
         73:fa:a3:77:a6:82:03:c0:76:28:c9:9b:7e:1d:83:56:19:a9:
         61:65:bc:3f:bc:1b:34:ff:e2:9b:7d:75:e0:5f:f3:26:f0:55:
         9c:78:de:69:8f:4a:b2:e4:d4:53:9e:16:6f:c5:57:d8:51:57:
         e3:4f:d8:16:6f:c7:4c:7a:d7:70:71:f2:5b:2e:57:05:4f:4c:
         15:59:84:bb:e6:2f:e8:92:31:09:a1:20:8f:92:7b:8d:5e:2a:
         19:03:3e:f9:f9:fe:12:94:4f:91:51:e7:f3:8e:07:ce:0c:66:
         e3:46:d1:5b:be:3b:ae:31:ae:c8:ab:2c:f8:4d:ad:8d:62:53:
         e8:e9:83:27:8a:ee:1c:21:5d:be:19:19:be:fc:d5:27:25:67:
         d0:f5:4d:f9:cc:28:27:48:0b:33:ba:76:a1:ae:c9:dc:87:4d:
         67:7a:76:08:c5:ef:15:d6:6c:46:21:45:52:90:48:6c:ad:d5:
         62:51:51:ae
-----COMECE O CERTIFICADO-----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-----TERMINE O CERTIFICADO-----

Obrigado!

Neste tempo, você tem três arquivos: .crt, .key, e .pem.

Use os keyCredentials output como instruídos, e copie a saída aos azuis celestes quando você estabelece o registro do App. A saída de Thumbprint e a chave privada do certificado (.pem) são precisadas quando você executa as etapas de configuração na Segurança do email de Cisco.

Informações Relacionadas

• Cisco envia por correio eletrónico a ferramenta de segurança - Guias do utilizador final
• Suporte Técnico e Documentação - Cisco Systems