简介
使用TLS通过思科邮件安全设备(ESA)传送邮件时,您可以选择使用“验证”(Verify)或“托管验证”(Hosted Verify)选项执行证书验证。 这是保护通过TLS传送电子邮件的关键部分,了解此验证的执行方式非常重要。
思科邮件安全设备(ESA)上的证书验证算法是什么?
实际上有两种算法,一种用于“验证”(Verify)选项,另一种用于“托管验证”(Hosted Verify)选项。 通常建议使用“托管验证”选项,因为它与更多种方案兼容。
背景信息
- 本文档基于AsyncOS 8.0.1及更高版本。 AsyncOS的早期版本可能具有稍有不同的行为。
- 除非另有指定,否则支持通配符匹配
- 每个算法都会在匹配成功后停止,后续检查不会进行评估
- CLI命令tlsverify使用“验证算法”
定义
- CN:这是通用名称,是证书主题的一部分
- SAN:这是X.509的主题备用名扩展。在本文档中使用时,我们特指的是SAN字段中包含的任何DNS名称。
- 邮件域(Email Domain):这是收件人邮件地址的域部分。 例如,在传送到“user@example.com”时,邮件域为“example.com”
- MX主机名:这些是邮件域的MX记录的主机名
- PTR Hostname:这是ESA连接的IP地址的DNS PTR查找返回的主机名
- SMTP Route Hostnames:如果为此目标配置了SMTP路由,则这是SMTP路由中使用的主机名
托管验证算法
- 如果证书包含SAN属性,只会使用这些属性,并且会忽略CN。 仅当证书中没有SAN属性时,才会使用CN。 这符合RFC 6125。
- 系统会根据邮件域检查证书。
- 系统会根据可能存在的任何一个SMTP路由主机名检查证书。
- 根据MX主机名检查证书。
- 如果之前的任何检查均未成功,则验证失败。
验证算法
- 根据邮件域检查SAN属性。
- 系统会根据邮件域检查CN。
注意:不支持通配符匹配。
- 根据PTR主机名检查SAN属性。
- 如果之前的任何检查均未成功,则验证失败。