簡介
本文檔介紹思科安全電子郵件和網路管理器(EWM)的TLS v1.3協定的配置
必要條件
需要具備SEWM設定和配置的一般知識。
採用元件
- Cisco Secure Email Web Manager(SEWM)AsyncOS 15.5.1及更高版本。
- SSL配置設定。
"本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。」
概觀
SEWM整合了TLS v1.3協定,以加密HTTPS相關服務的通訊;傳統UI、NGUI和Rest API。
TLS v1.3協定具有更高的通訊安全性和更快的協商速度,因為業界正在努力使其成為標準。
SEWM使用SSL的SEGWebUI或CLI中的現有SSL配置方法,並突出顯示幾個顯著設定。
- 配置允許的協定時的預防建議。
- TLS v1.3密碼不能被操作。
- TLS v1.3隻能配置為GUI HTTPS。
- TLS v1.0和TLS v1.3之間的TLS協定覈取方塊選擇選項使用文章中更詳細介紹的模式。
設定
SEWM在AsycOS 15.5中整合了用於HTTPS的TLS v1.3協定。
選擇協定設定以防止HTTPS故障時建議謹慎操作。
TLS v1.3的Web瀏覽器支援很常見,儘管某些環境需要調整才能訪問SEWM。
TLS v1.3協定的Cisco SEWM實現支援3個預設密碼,這些密碼無法在SEWM中更改或排除。
TLS 1.3密碼:
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
從WebUI配置
導航至>系統管理> SSL配置
- 升級到15.5 AsyncOS HTTPS後的預設TLS協定選擇僅包括TLS v1.1和TLS v1.2。
- 列出的另外兩項服務(安全LDAP服務和更新程式服務)不支援TLS v1.3。

選擇「編輯設定」以顯示配置選項。
「Web使用者介面」的TLS協定選擇選項包括TLS v1.0、TLS v1.1、TLS v1.2和TLS v1.3。
- 升級到AsyncOS 15.5後,預設情況下只選擇TLS v1.1和TLS v1.2協定。

附註:TLS1.0已棄用,因此預設情況下已禁用。如果所有者選擇啟用TLS v1.0,則它仍然可用。
- 覈取方塊選項亮起,顯示可用協定的加粗框和顯示不相容選項的「灰顯」框。
- 影象中的示例選項說明了Web使用者介面的覈取方塊選項。

附註:修改SSL配置可能會導致相關服務重新啟動。這會導致WebUI服務出現短暫的中斷。

從CLI進行配置
EWM允許在一種服務上使用TLS v1.3:WebUi
sma1.example.com> sslconfig
為了獲得最佳安全性,建議禁用SSLv3。
請注意,遠端伺服器上的SSL/TLS服務要求所選TLS版本是連續的。為了避免通訊錯誤,請始終選擇一個連續的
每個服務的版本集。例如,請勿啟用TLS 1.0和1.2,同時禁用TLS 1.1。
選擇要執行的操作:
— 版本 — 啟用或禁用SSL/TLS版本
- PEER_CERT_FQDN — 驗證通過TLS、更新程式和LDAP發出警報的對等證書FQDN符合性。
- PEER_CERT_X509 — 驗證通過TLS、更新器和LDAP發出警報的對等證書X509合規性。
[]>版本
啟用或禁用服務的SSL/TLS版本:
更新程式 — 更新服務
WebUI — 裝置管理Web使用者介面
LDAPS — 安全LDAP服務(包括身份驗證和外部身份驗證)
請注意,TLSv1.3不可用於更新程式和LDAPS,只有WebUI可以配置為TLSv1.3。
當前按服務啟用的SSL/TLS版本:(Y :已啟用,N :已停用)
更新器WebUI LDAPS
TLSv1.0 N N N
TLSv1.1 Y N Y
TLSv1.2 Y Y Y
TLSv1.3不適用
選擇要啟用/禁用SSL/TLS版本的服務:
1.更新程式
2. WebUI
3.最不發達國家方案
4.所有服務
[]> 2
當前為WebUI啟用的協定是TLSv1.2。
要更改特定協定的設定,請選擇以下選項:
1. TLSv1.0
2. TLSv1.1
3. TLSv1.2
4. TLSv1.3
[]> 4
當前已禁用對裝置管理Web使用者介面的TLSv1.3支援。是否要啟用它?[N]> y
當前為WebUI啟用的協議是TLSv1.3、TLSv1.2。
選擇要執行的操作:
— 版本 — 啟用或禁用SSL/TLS版本
- PEER_CERT_FQDN — 驗證通過TLS、更新程式和LDAP發出警報的對等證書FQDN符合性。
- PEER_CERT_X509 — 驗證通過TLS、更新器和LDAP發出警報的對等證書X509合規性。
[]>
sma1.example.com> commit
警告:SSL配置更改導致
提交後重新啟動這些進程 — gui,euq_webui。
這會導致SMA操作出現短暫中斷。
請輸入一些描述您更改的註釋:
[]>啟用tls v1.3
已提交的更改:2024年1月28日,星期日23:55:40
正在重新啟動gui...
gui已重新啟動
正在重新啟動euq_webui...
euq_webui restarted
請稍等片刻,並確認可以訪問WebUI。
附註:為服務選擇多個版本的TLS需要使用者選擇一個服務和協定版本,然後再次重複選擇服務和協定直到所有設定均已修改。
驗證
本節包含一些基本測試方案以及由於版本不匹配或語法錯誤而出現的錯誤。
通過開啟與TLSv1.3配置的EWM WebUI或NGUI的Web瀏覽器會話來驗證瀏覽器功能。
我們測試的所有網路瀏覽器均已配置為接受TLS v1.3。
- 將Firefox上的瀏覽器設定設定為禁用TLS v1.3支援時,在裝置的ClassicUI和NGUI上都會產生錯誤。
- 使用Firefox的經典UI配置為排除TLS v1.3作為測試。
- NGUI會收到相同的錯誤,唯一的例外是URL中的連線埠號碼4431(預設)。
TLS v1.3 Webui故障
- 為了確保通訊,請驗證瀏覽器設定以確保包括TLSv1.3。(此示例來自Firefox)

- 使用輸入錯誤的密碼值的openssl命令範例將產生以下錯誤輸出:由於密碼無效導致的openssl連線測試失敗示例:命令錯誤:"-ciphersuites TLS_AES_256_GCM_SHA386"
2226823168:ERROR:1426E089:SSL常式:ciphersuite_cb:no cipher match:ssl/ssl_ciph.c:1299:
- 禁用TLS v1.3時對ng-ui執行的示例curl命令生成此錯誤。
捲曲:(35)CURL_SSLVERSION_MAX與CURL_SSLVERSION不相容
相關資訊