Configurar a versão 1.0 do Transport Layer Security em Cisco ESA e CES

Opções de download

  • PDF     (207.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (182.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (146.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de Abril de 2020
ID do documento:215282

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve como permitir a versão 1.0 do Transport Layer Security (TLSv1.0) na ferramenta de segurança do email de Cisco (ESA) e Cisco nubla-se atribuições da Segurança do email (CES).

    Como pode você permitir TLSv1.0 em Cisco ESA e CES?

    Nota: As atribuições de Cisco CES provisioned têm TLSv1.0 desabilitado à revelia conforme os requisitos de segurança devido aos impactos da vulnerabilidade no protocolo TLSv1.0. Isto inclui a corda da cifra para remover todo o uso da série compartilhada SSLv3 da cifra.

    Cuidado: Os métodos e as cifras SSL/TLS são ajustados baseados nas políticas de segurança e nas preferências específicas de sua empresa. Para a informação da terceira com respeito às cifras, refira o original da Segurança/lado de servidor TLS Mozilla para configurações do servidor e a informação detalhada recomendadas.

    A fim permitir TLSv1.0 em seu Cisco ESA ou CES, você pode fazer assim da interface gráfica de usuário (GUI) ou do comando line interface(cli).

    Nota: A fim obter o acesso a seu CES no CLI reveja por favor: Alcançando o comando line interface(cli) de sua solução da Segurança do email da nuvem (CES)

    Interface com o usuário gráfica

    1. Log no GUI.
    2. Navegue à administração do sistema > à configuração de SSL.
    3. Seleto edite ajustes.
    4. Verifique a caixa TLSv1.0. É importante notar esse TLSv1.2 e não pode ser permitido conjuntamente com TLSv1.0 a menos que o Bridging Protocol TLSv1.1 for permitido igualmente segundo as indicações da imagem:

    Interface da linha de comando

    1. Execute o sslconfig do comando.
    2. Execute o comando GUI ou DE ENTRADA ou DE PARTIDA segundo que artigo você quer permitir TLSv1.0 para:
    (Cluster Hosted_Cluster)> sslconfig

    sslconfig settings:
    GUI HTTPS method: tlsv1_2
    GUI HTTPS ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Inbound SMTP method: tlsv1_2
    Inbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Outbound SMTP method: tlsv1_2
    Outbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit Inbound SMTP ssl settings.
    - OUTBOUND - Edit Outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    - CLUSTERSET - Set how ssl settings are configured in a cluster.
    - CLUSTERSHOW - Display how ssl settings are configured in a cluster.
    []> INBOUND

    Enter the inbound SMTP ssl method you want to use.
    1. TLS v1.0
    2. TLS v1.1
    3. TLS v1.2
    4. SSL v2
    5. SSL v3
    [3]> 1-3

    Enter the inbound SMTP ssl cipher you want to use.
    [RC4-SHA:RC4-MD5:ALL:-aNULL:-EXPORT]>

    Cifras

    Os ESA e as atribuições CES podem ser configurados com as séries restritas da cifra, ele são importantes de assegurar-se de que as cifras SSLv3 não estejam obstruídos quando você permite o protocolo TLSv1.0. A falha permitir as séries da cifra SSLv3 conduz às falhas de negociação TLS ou aos fechamentos abruptos da conexão TLS.

    Corda da cifra da amostra:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

    Esta corda da cifra para o ESA/CES de permitir a negociação nas cifras SSLv3 como indicado sobre! SSLv3: , isto significa quando o protocolo é pedido no aperto de mão, o aperto de mão SSL falha porque não há nenhuma cifra compartilhada disponível para a negociação.

    A fim assegurar as funções da corda da cifra da amostra com TLSv1.0, precisa de ser alterado para remover! SSLv3:!TLSv1: visto na corda substituída da cifra:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:-aNULL:-EXPORT:-IDEA

    Nota: Você pode verificar as séries da cifra compartilhadas no aperto de mão SSL no ESA/CES CLI com o comando verify.

    Os possíveis erros entraram os mail_logs/rastreamento de mensagem mas não limitado a:

    Sun Feb 23 10:07:07 2020 Info: DCID 1407038 TLS failed: (336032784, 'error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure')
    Sun Feb 23 10:38:56 2020 Info: DCID 1407763 TLS failed: (336032002, 'error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol')

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Mathew Huynh
      Engenheiro de TAC da Cisco
    • Alan Macorra
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco