Introducción
Este documento describe los pasos necesarios que se deben aplicar si se produce un problema con la comunicación TLS, o si se accede a la interfaz web, después de actualizar a AsyncOS para Email Security versión 9.5 o posterior en Cisco Email Security Appliances (ESA).
Los certificados heredados (MD5) hacen que la comunicación de TLSv1.2 falle en AsyncOS 9.5 para actualizaciones de Email Security y versiones más recientes
Nota: A continuación se muestra una solución alternativa para los certificados de demostración actuales aplicados en el dispositivo. Sin embargo, los siguientes pasos también pueden aplicarse a cualquier certificado firmado MD5.
Al realizar una actualización a AsyncOS para Email Security versión 9.5 y posterior, es posible que alguno de los certificados de demostración de IronPort heredados que aún se están usando y que se aplican para entrega, recepción o LDAP tenga errores al intentar comunicarse a través de TLSv1/TLSv1.2 con algunos dominios. El error de TLS hará que todas las sesiones entrantes o salientes fallen.
Si los certificados se aplican a la interfaz HTTPS, los exploradores web modernos no podrán acceder a la interfaz web del dispositivo.
Los registros de correo deben ser similares al siguiente ejemplo:
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
Este error se debe a que el algoritmo de firma aplicado al certificado más antiguo es MD5; sin embargo, los certificados asociados con el dispositivo/navegador de conexión sólo admiten algoritmos basados en firmas SHA. Aunque los certificados de demostración más antiguos que tienen la firma MD5 están en el dispositivo al mismo tiempo que el nuevo certificado de demostración basado en SHA, el error anterior solo se manifestará si el certificado basado en la firma MD5 se aplica a las secciones especificadas (es decir, recepción, entrega, etc.)
A continuación se muestra un ejemplo extraído de la CLI de un dispositivo que tiene tanto los certificados MD5 más antiguos como el nuevo certificado de demostración (Nota: el certificado más reciente (Demostración) debe ser el algoritmo SHA más reciente y tener una fecha de vencimiento más larga que los certificados de demostración más antiguos):
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
Acciones correctivas
1. Vaya a la Web (UI): Red > Certificados
2. Compruebe que actualmente tiene instalados los certificados más antiguos y que también tiene el nuevo certificado de demostración de SHA.
3. En función de dónde se apliquen los certificados de demostración más antiguos, reemplácelo por un nuevo certificado de demostración.
Normalmente, estos certificados se pueden encontrar en las siguientes secciones:
- Network > Listeners > Then name of the listener > Certificate
- Políticas de correo > Controles de destino > Editar configuración global > Certificado
- Network > IP Interface > Choose interface Associated with GUI access > HTTPS Certificate
- Administración del sistema > LDAP > Editar configuración > Certificado
4. Una vez que se hayan reemplazado todos los certificados, verifique desde la línea de comandos que la comunicación TLS es exitosa.
Ejemplo de comunicación TLS activa que se está negociando mediante TLSv1.2:
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
Acciones correctivas de CLI (si no se puede acceder a la GUI)
Es posible que sea necesario modificar el certificado en cada interfaz IP que tenga un certificado habilitado para el servicio HTTPS. Para modificar el certificado en uso para las interfaces, ejecute los siguientes comandos en la CLI:
- Escriba interface config.
- Seleccione edit.
- Introduzca el número de la interfaz que desea editar.
- Utilice la tecla de retorno para aceptar la configuración actual de cada pregunta presentada. Cuando se presente la opción para que el certificado se aplique, seleccione el certificado de demostración:
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
Termine de leer paso a paso las indicaciones de configuración hasta que todas las preguntas de configuración se hayan completado.
-
Utilice la tecla de retorno para salir al indicador principal de CLI.
- Use commit para guardar los cambios realizados en la configuración.
Nota: Recuerde registrar los cambios después de cambiar el certificado en uso en la interfaz.
Información Relacionada
Comentarios