Einleitung
In diesem Dokument werden die erforderlichen Schritte beschrieben, die nach dem Upgrade auf AsyncOS für Email Security Version 9.5 oder höher auf den Cisco Email Security Appliances (ESA) durchgeführt werden müssen, wenn ein Problem mit der TLS-Kommunikation auftritt oder auf die Webschnittstelle zugegriffen wird.
Legacy-Zertifikate (MD5) führen auf 9.5 AsyncOS für Email Security-Upgrades und neuere Versionen zu einem Ausfall der TLSv1.2-Kommunikation.
Hinweis: Im Folgenden finden Sie eine Problemumgehung für die aktuellen Demo-Zertifikate, die auf die Appliance angewendet werden. Die folgenden Schritte können jedoch auch auf alle mit MD5 signierten Zertifikate angewendet werden.
Bei einem Upgrade auf AsyncOS für Email Security Version 9.5 und höher kann es bei allen älteren IronPort-Demozertifikaten, die noch verwendet und für die Zustellung, den Empfang oder das LDAP verwendet werden, zu Fehlern kommen, während versucht wird, über TLSv1/TLSv1.2 mit einigen Domänen zu kommunizieren. Der TLS-Fehler führt dazu, dass alle ein- und ausgehenden Sitzungen fehlschlagen.
Wenn die Zertifikate auf die HTTPS-Schnittstelle angewendet werden, können moderne Webbrowser nicht auf die Webschnittstelle der Appliance zugreifen.
Mail-Protokolle sollten ähnlich wie im folgenden Beispiel aussehen:
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
Dieser Fehler wird durch den Signaturalgorithmus verursacht, der auf das ältere Zertifikat MD5 angewendet wird. Die Zertifikate, die mit der verbindenden Appliance bzw. dem verbindenden Browser verknüpft sind, unterstützen jedoch nur SHA-Signaturalgorithmen. Obwohl sich die älteren Demozertifikate mit der MD5-Signatur auf der Appliance befinden, während sich das neue SHA-basierte Demozertifikat befindet, zeigt sich der obige Fehler nur, wenn das MD5-signaturbasierte Zertifikat auf die angegebenen Abschnitte angewendet wird (d. h. Empfang, Lieferung usw.)
Unten sehen Sie ein Beispiel aus der CLI einer Appliance, die neben dem neuen Demozertifikat auch über die älteren MD5-Zertifikate verfügt (Hinweis: Das neuere Zertifikat (Demo) sollte der neuere SHA-Algorithmus sein und ein längeres Ablaufdatum als die älteren Demozertifikate haben):
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
Korrekturmaßnahmen
1. Navigieren Sie zum Web (UI): Netzwerk > Zertifikate
2. Vergewissern Sie sich, dass Sie derzeit die älteren Zertifikate installiert haben und auch das neue SHA-Demo-Zertifikat besitzen.
3. Je nachdem, wo die älteren Demo-Zertifikate angewendet werden, ersetzen Sie dies durch ein neues Demo-Zertifikat.
In der Regel finden Sie diese Zertifikate in den folgenden Abschnitten:
- Netzwerk > Listener > Dann Name des Listeners > Zertifikat
- Mail-Policys > Zielsteuerelemente > Globale Einstellungen bearbeiten > Zertifikat
- Netzwerk > IP-Schnittstelle > Schnittstelle für GUI-Zugriff auswählen > HTTPS-Zertifikat
- Systemverwaltung > LDAP > Einstellungen bearbeiten > Zertifikat
4. Nachdem alle Zertifikate ersetzt wurden, überprüfen Sie über die Befehlszeile, ob die TLS-Kommunikation jetzt erfolgreich ist.
Beispiel einer funktionierenden TLS-Kommunikation, die mit TLSv1.2 ausgehandelt wird:
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
CLI-Korrekturmaßnahmen (falls auf die GUI nicht zugegriffen werden kann)
Das Zertifikat muss möglicherweise an jeder IP-Schnittstelle geändert werden, für die ein Zertifikat für den HTTPS-Dienst aktiviert ist. Um das für Schnittstellen verwendete Zertifikat zu ändern, führen Sie die folgenden Befehle in der CLI aus:
- Geben Sie interfaceconfig ein.
- Wählen Sie Bearbeiten aus.
- Geben Sie die Nummer der Schnittstelle ein, die Sie bearbeiten möchten.
- Verwenden Sie die Eingabetaste, um die aktuellen Einstellungen für die einzelnen Fragen zu akzeptieren. Wenn die Option für das anzuwendende Zertifikat angezeigt wird, wählen Sie das Demo-Zertifikat aus:
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
Führen Sie die einzelnen Schritte der Eingabeaufforderungen für die Einstellungen aus, bis alle Konfigurationsfragen beantwortet sind.
-
Drücken Sie die Eingabetaste, um zur CLI-Eingabeaufforderung zu wechseln.
- Bestätigen Sie, um Ihre Änderungen an der Konfiguration zu speichern.
Hinweis: Denken Sie daran, Änderungen nach dem Ändern des auf der Schnittstelle verwendeten Zertifikats zu bestätigen.
Zugehörige Informationen
Feedback