9.5及更高版本的AsyncOS for Email Security升级,使用较早的证书(MD5)通信TLSv1.2失败

下载选项

  • PDF     (338.6 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2015 年 8 月 7 日
文档 ID:200025

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在思科邮件安全设备(ESA)上升级到AsyncOS for Email Security 9.5版或更高版本后,遇到TLS通信问题或访问Web界面时应应用的必要步骤。

传统证书(MD5)导致用于邮件安全升级和更新的9.5 AsyncOS上的TLSv1.2通信失败

注意:下面列出了适用于设备上当前演示证书的解决方法。但是,以下步骤可能也适用于任何MD5签名证书。

在升级到AsyncOS for Email Security 9.5版及更高版本后,任何仍在使用并申请交付、接收或LDAP的旧版IronPort演示证书在尝试通过TLSv1/TLSv1.2与某些域通信时可能会遇到错误。  TLS错误将导致所有入站或出站会话失败。

如果证书应用到HTTPS界面,现代Web浏览器将无法访问设备的网络界面。

邮件日志应类似于以下示例:

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

此错误是由应用于旧证书的签名算法造成的,即MD5;但是,与连接设备/浏览器关联的证书仅支持基于SHA签名的算法。虽然具有MD5签名的较旧演示证书在设备上与基于SHA的新演示证书同时存在,但仅当基于MD5签名的证书应用到指定部分(即接收、交付等)时,上述错误才会显现

以下是从设备命令行界面提取的示例,除新的演示证书外,该设备还具有旧的MD5证书(注意:较新的证书(Demo)应该是SHA算法的较新版本,并且到期日期比较旧的演示证书更长):


List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days

纠正措施

1.    导航至Web(UI):Network > Certificates
2.    验证您当前安装了较早的证书,并且还安装了新的SHA演示证书。
3.    根据旧演示证书的应用位置,将此证书替换为新的演示证书。

通常,在以下部分可以找到应用了这些证书:

  • Network > Listeners > Then name of the listener > Certificate
  • 邮件策略(Mail Policies)>目标控制(Destination Controls)>编辑全局设置(Edit Global Settings)>证书(Certificate)
  • Network > IP Interface > Choose interface associated with GUI access > HTTPS Certificate
  • 系统管理> LDAP >编辑设置>证书

4.替换所有证书后,从命令行验证TLS通信现在是否成功。

使用TLSv1.2协商的有效TLS通信示例:

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

CLI纠正操作(如果无法访问GUI)

可能需要在为HTTPS服务启用证书的每个IP接口上修改证书。 要修改接口使用的证书,请在CLI上运行以下命令:

  1. 键入interfaceconfig
  2. 选择edit
  3. 输入要编辑的接口的编号。
  4. 使用return键接受所提出每个问题的当前设置。 当显示要应用的证书选项时,选择演示证书:
    1. 1. Ironport Demo Certificate
      2. Demo
      Please choose the certificate to apply:
      [1]> 2

      You may use "Demo", but this will not be secure.
      Do you really wish to use the "Demo" certificate? [N]> Y

  5. 完成设置提示的逐步操作,直到所有配置问题都完成。

  6. 使用return键退出到主CLI提示符。

  7. 使用commit保存对配置的更改。

注意:请记住,在更改接口上正在使用的证书后提交更改。

相关信息

修订历史记录

版本 发布日期 备注
1.0
13-Jul-2015
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品