驗證Cisco ESA上的TLS證書並對其進行故障排除

下載選項

  • PDF     (418.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (81.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (69.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2026 年 2 月 25 日
文件 ID:118844

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在思科郵件安全裝置(ESA)上建立、配置TLS證書並對其進行故障排除。

    必要條件

    需求

    本文件沒有特定需求。

    採用元件

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    ESA上的TLS實現為通過加密進行郵件點對點傳輸提供了隱私保護。此實現允許管理員從證書頒發機構(CA)服務匯入證書和私鑰,或使用自簽名證書。

    適用於電子郵件安全的Cisco AsyncOS支援簡單郵件傳輸協定(SMTP)(使用TLS的安全SMTP)的STARTTLS擴展。

    note-icon

    附註:本文檔介紹如何使用ESA上的集中管理功能在群集級別安裝證書。可在機器級別應用證書;但是,如果電腦從群集中刪除,然後新增回來,則電腦級別的證書將丟失。

    功能概述和要求

    出於以下任何原因,管理員可以使用裝置上的證書:

    • 加密與使用TLS的其他MTA的SMTP會話(入站和出站會話)。
    • 在裝置上啟用HTTPS服務,以便通過HTTPS訪問GUI。
    • 如果LDAP伺服器需要客戶端證書,則用作輕型目錄訪問協定(LDAP)的客戶端證書。
    • 允許裝置與思科高級惡意軟體防護(AMP)Threat Grid裝置之間的安全通訊。

    ESA預配置了可用於建立TLS連線的演示證書。

    caution-icon

    注意:雖然演示證書足以建立安全的TLS連線,但請注意,它不能提供可驗證的連線。思科建議您從CA取得X.509或隱私增強型電子郵件(PEM)憑證。

    設定和指派憑證

    在繼續之前,請確保已經完成《使用手冊》中所述的建立和分配證書的步驟。這些連結提供了必要的說明:

    驗證

    驗證HTTPS的TLS

    1.訪問GUI:使用HTTPS URL(例如https://esa.example.com)導航到ESA裝置

    2. Open Certificate Details: 在瀏覽器位址列中,按一下URL左側的Site Information圖示(通常為掛鎖)。

    3.根據瀏覽器驗證:

         a.Google Chrome:按一下Padlock圖示> Connection is secure > Certificate is valid

         b.Microsoft Edge:單掛鎖圖示> Connection is secure > Certificate icon(彈出視窗右上角)。

         c. Mozilla Firefox:按一下掛鎖圖示> Connection secure > 更多資訊> View Certificate。

    4.確認有效性:在證書檢視器中檢視「有效期」或「狀態」。如果憑證顯示為Valid,則連線是安全的,且瀏覽器可以正確識別憑證。

    驗證電子郵件傳送或接收的TLS

    雖然GUI中的訊息追蹤提供此資訊,但使用指令行介面(CLI)進行批次檢視或快速疑難排解通常更有效率。

    按照以下步驟通過CLI檢視TLS狀態:

    1. 登入CLI:使用管理憑據通過SSH訪問裝置。
    2. 運行Grep命令:使用greputiility過濾郵件日誌,瞭解與TLS相關的活動。
    3. 分析連線ID:根據連線型別檢視輸出:
      • ICID(傳入連線ID):複查這些條目以驗證偵聽器上接的連線的TLS。
      • DCID(傳送連線ID):複查這些條目,以驗證要傳送到下跳MTA的連線的TLS。
    note-icon

    附註:您可以搜尋特定字串(如「TLS成功」或「TLS失敗」)以縮小結果範圍。

    接收郵件時的TLS成功示例

    (Machine esa.example.com)> grep "ICID.*TLS failed" mail_logs
    Sat Feb 14 19:20:28 2026 Info: ICID 111396123 TLS failed: [Errno 0] Error
    Sat Feb 14 19:20:28 2026 Info: ICID 111396456 TLS failed: ('SSL routines:tls_early_post_process_client_hello:no shared cipher')

    接收郵件時的TLS故障示例

    (Machine esa.example.com)> grep "ICID.*TLS success" mail_logs
    Sat Feb 14 19:14:38 2026 Info: ICID 111395123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
    Sat Feb 14 19:14:41 2026 Info: ICID 111395456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    傳送郵件時的TLS成功示例

    (Machine esa.example.com)> grep "DCID.*TLS success" mail_logs

    Sat Feb 14 19:12:56 2026 Info: DCID 21966123 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384 the.cpq.host
    Sat Feb 14 19:13:00 2026 Info: DCID 21966456 TLS success protocol TLSv1.3 cipher TLS_AES_256_GCM_SHA384

    傳送郵件時的TLS失敗示例

    (Machine esa.example.com)> grep "DCID.*TLS failed" mail_logs

    Sat Feb 14 19:58:43 2026 Info: DCID 21967123 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled
    Sat Feb 14 20:58:44 2026 Info: DCID 21967456 TLS failed: TLS required, STARTTLS unavailable, destination is TLS disabled

    驗證LDAP的TLS

    雖然ldap_debug日誌未顯示特定TLS字串,但我們可以通過檢查LDAP響應和正在使用的埠來確定TLS是成功還是失敗。對於LDAPS連線,這通常意味著Active Directory的埠3269或OpenLDAP的埠636。

    LDAP的TLS示例

    (Machine esa.example.com) (SERVICE)> tail ldap_debug

    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) to server LDAP (ldaps-esa.example.com:3269)
    Wed Feb 25 03:24:23 2026 Debug: LDAP: (group) Query (proxyAddresses=smtp:user@example.com) lookup success, (ldaps-esa.example.com:3269) returned 0 results timestamp=1771989863.189580
    note-icon

    附註:要對LDAP流量和TLS活動進行更詳細的分析,建議捕獲相關主機和埠上的網路資料包。

    疑難排解

    本節介紹如何對ESA上的基本TLS問題進行故障排除。

    檢查中間證書

    查詢重複的中間證書,尤其是當更新當前證書而不是建立新證書時。中間證書可以更改或連結不正確,並且證書可以上載多個中間證書。這可能會引發憑證鏈結和驗證問題。

    為所需的TLS連線失敗啟用通知

    您可以將ESA配置為在消息傳送到需要TLS連線的域時,如果TLS協商失敗,則傳送警報。警報消息包含失敗的TLS協商的目標域的名稱。ESA將警報消息傳送到設定為接收系統警報型別的警告嚴重性級別警報的所有收件人。

    note-icon

    附註:這是一個全域性設定,因此無法按域設定。

    完成以下步驟以啟用TLS連線警報:

    1. 導航到郵件策略>目標控制
    2. 按一下Edit Global Settings
    3. 選中當必需的TLS連線失敗時傳送警報覈取方塊。
    tip-icon

    提示:您也可以使用destconfig > setup CLI命令配置此設定。

    ESA還會記錄域需要TLS但在裝置mail_logs中無法使用的例項。滿足以下任一條件時會發生這種情況:

    • 遠端MTA不支援ESMTP(例如,它無法理解來自ESA的EHLO命令)。
    • 遠端MTA支援ESMTP,但STARTTLS命令不在EHLO響應中通告的擴展清單中。
    • 遠端MTA通告STARTTLS擴展,但在ESA傳送STARTTLS命令時以錯誤響應。

    使用第三方工具進行故障排除

    • 在開始測試之前,請確保證書應用在監聽程式中,裝置在此接收入站郵件。

    Receiving時,可以使用第三方工具(如CheckTLS.comSSL-Tools.net)來驗證證書的正確連結。檢視每個工具的文檔,瞭解如何驗證證書。

    note-icon

    附註:如果使用自簽名證書,則預計會出現故障。

    解析

    如果正在使用CA簽名的證書且TLS驗證失敗,請驗證以下專案是否匹配:

    • 證書公用名
    • 主機名(位於GUI > Network > Interface)
    • MX記錄主機名:這是TestReceiver表中的MX Server列。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    4.0
    25-Feb-2026
    使用最近的AsyncOS版本更新格式、語法和步驟。
    3.0
    29-Mar-2024
    重新認證
    1.0
    05-Aug-2015
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Dennis McCabe Jr
      Cisco Technical Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品