简介
本文档介绍在思科邮件安全设备(ESA)上升级到AsyncOS for Email Security 9.5版或更高版本后,遇到TLS通信问题或访问Web界面时应应用的必要步骤。
传统证书(MD5)导致用于邮件安全升级和更新的9.5 AsyncOS上的TLSv1.2通信失败
注意:下面列出了适用于设备上当前演示证书的解决方法。但是,以下步骤可能也适用于任何MD5签名证书。
在升级到AsyncOS for Email Security 9.5版及更高版本后,任何仍在使用并申请交付、接收或LDAP的旧版IronPort演示证书在尝试通过TLSv1/TLSv1.2与某些域通信时可能会遇到错误。 TLS错误将导致所有入站或出站会话失败。
如果证书应用到HTTPS界面,现代Web浏览器将无法访问设备的网络界面。
邮件日志应类似于以下示例:
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
此错误是由应用于旧证书的签名算法造成的,即MD5;但是,与连接设备/浏览器关联的证书仅支持基于SHA签名的算法。虽然具有MD5签名的较旧演示证书在设备上与基于SHA的新演示证书同时存在,但仅当基于MD5签名的证书应用到指定部分(即接收、交付等)时,上述错误才会显现
以下是从设备命令行界面提取的示例,除新的演示证书外,该设备还具有旧的MD5证书(注意:较新的证书(Demo)应该是SHA算法的较新版本,并且到期日期比较旧的演示证书更长):
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
纠正措施
1. 导航至Web(UI):Network > Certificates
2. 验证您当前安装了较早的证书,并且还安装了新的SHA演示证书。
3. 根据旧演示证书的应用位置,将此证书替换为新的演示证书。
通常,在以下部分可以找到应用了这些证书:
- Network > Listeners > Then name of the listener > Certificate
- 邮件策略(Mail Policies)>目标控制(Destination Controls)>编辑全局设置(Edit Global Settings)>证书(Certificate)
- Network > IP Interface > Choose interface associated with GUI access > HTTPS Certificate
- 系统管理> LDAP >编辑设置>证书
4.替换所有证书后,从命令行验证TLS通信现在是否成功。
使用TLSv1.2协商的有效TLS通信示例:
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
CLI纠正操作(如果无法访问GUI)
可能需要在为HTTPS服务启用证书的每个IP接口上修改证书。 要修改接口使用的证书,请在CLI上运行以下命令:
- 键入interfaceconfig。
- 选择edit。
- 输入要编辑的接口的编号。
- 使用return键接受所提出每个问题的当前设置。 当显示要应用的证书选项时,选择演示证书:
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
完成设置提示的逐步操作,直到所有配置问题都完成。
-
使用return键退出到主CLI提示符。
- 使用commit保存对配置的更改。
注意:请记住,在更改接口上正在使用的证书后提交更改。
相关信息