驗證Cisco ESA上的TLS證書並對其進行故障排除

簡介

本文檔介紹如何在思科郵件安全裝置(ESA)上建立、配置TLS證書並對其進行故障排除。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

ESA上的TLS實現為通過加密進行郵件點對點傳輸提供了隱私保護。此實現允許管理員從證書頒發機構(CA)服務匯入證書和私鑰，或使用自簽名證書。

適用於電子郵件安全的Cisco AsyncOS支援簡單郵件傳輸協定(SMTP)（使用TLS的安全SMTP）的STARTTLS擴展。

功能概述和要求

出於以下任何原因，管理員可以使用裝置上的證書：

• 加密與使用TLS的其他MTA的SMTP會話（入站和出站會話）。
• 在裝置上啟用HTTPS服務，以便通過HTTPS訪問GUI。
• 如果LDAP伺服器需要客戶端證書，則用作輕型目錄訪問協定(LDAP)的客戶端證書。
• 允許裝置與思科高級惡意軟體防護(AMP)Threat Grid裝置之間的安全通訊。

ESA預配置了可用於建立TLS連線的演示證書。

設定和指派憑證

在繼續之前，請確保已經完成《使用手冊》中所述的建立和分配證書的步驟。這些連結提供了必要的說明：

• 部署簽名證書
• 分配證書

驗證

驗證HTTPS的TLS

1.訪問GUI:使用HTTPS URL(例如https://esa.example.com)導航到ESA裝置

2. Open Certificate Details: 在瀏覽器位址列中，按一下URL左側的Site Information圖示（通常為掛鎖）。

3.根據瀏覽器驗證：

     a.Google Chrome:按一下Padlock圖示> Connection is secure > Certificate is valid。

     b.Microsoft Edge：單擊掛鎖圖示> Connection is secure > Certificate icon（彈出視窗右上角）。

     c. Mozilla Firefox:按一下掛鎖圖示> Connection secure > 更多資訊> View Certificate。

4.確認有效性：在證書檢視器中檢視「有效期」或「狀態」。如果憑證顯示為Valid，則連線是安全的，且瀏覽器可以正確識別憑證。

驗證電子郵件傳送或接收的TLS

雖然GUI中的訊息追蹤提供此資訊，但使用指令行介面(CLI)進行批次檢視或快速疑難排解通常更有效率。

按照以下步驟通過CLI檢視TLS狀態：

1. 登入CLI：使用管理憑據通過SSH訪問裝置。
2. 運行Grep命令：使用greputiility過濾郵件日誌，瞭解與TLS相關的活動。
3. 分析連線ID：根據連線型別檢視輸出：
   • ICID（傳入連線ID）：複查這些條目以驗證偵聽器上接收的連線的TLS。
   • DCID（傳送連線ID）：複查這些條目，以驗證要傳送到下一跳MTA的連線的TLS。

接收郵件時的TLS成功示例

(Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

接收郵件時的TLS故障示例

(Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

傳送郵件時的TLS成功示例

(Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

傳送郵件時的TLS失敗示例

(Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

驗證LDAP的TLS

雖然ldap_debug日誌未顯示特定TLS字串，但我們可以通過檢查LDAP響應和正在使用的埠來確定TLS是成功還是失敗。對於LDAPS連線，這通常意味著Active Directory的埠3269或OpenLDAP的埠636。

LDAP的TLS示例

(Machine esa.example.com) (SERVICE)> tail ldap_debug

Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580

疑難排解

本節介紹如何對ESA上的基本TLS問題進行故障排除。

檢查中間證書

查詢重複的中間證書，尤其是當更新當前證書而不是建立新證書時。中間證書可以更改或連結不正確，並且證書可以上載多個中間證書。這可能會引發憑證鏈結和驗證問題。

為所需的TLS連線失敗啟用通知

您可以將ESA配置為在消息傳送到需要TLS連線的域時，如果TLS協商失敗，則傳送警報。警報消息包含失敗的TLS協商的目標域的名稱。ESA將警報消息傳送到設定為接收系統警報型別的警告嚴重性級別警報的所有收件人。

完成以下步驟以啟用TLS連線警報：

1. 導航到郵件策略>目標控制。
2. 按一下Edit Global Settings。
3. 選中當必需的TLS連線失敗時傳送警報覈取方塊。

ESA還會記錄域需要TLS但在裝置mail_logs中無法使用的例項。滿足以下任一條件時會發生這種情況：

• 遠端MTA不支援ESMTP（例如，它無法理解來自ESA的EHLO命令）。
• 遠端MTA支援ESMTP，但STARTTLS命令不在EHLO響應中通告的擴展清單中。
• 遠端MTA通告STARTTLS擴展，但在ESA傳送STARTTLS命令時以錯誤響應。

使用第三方工具進行故障排除

• 在開始測試之前，請確保證書應用在監聽程式中，裝置在此接收入站郵件。

在Receiving時，可以使用第三方工具(如CheckTLS.com和SSL-Tools.net)來驗證證書的正確連結。檢視每個工具的文檔，瞭解如何驗證證書。

解析

如果正在使用CA簽名的證書且TLS驗證失敗，請驗證以下專案是否匹配：

• 證書公用名
• 主機名(位於GUI > Network > Interface)
• MX記錄主機名：這是TestReceiver表中的MX Server列。

相關資訊

• Cisco Email Security Appliance - 一般使用者指南

修訂記錄

修訂	發佈日期	意見
4.0	25-Feb-2026	使用最近的AsyncOS版本更新格式、語法和步驟。
3.0	29-Mar-2024	重新認證
1.0	05-Aug-2015	初始版本