Mise à niveau d'AsyncOS for Email Security 9.5 et versions ultérieures avec échec de la communication TLSv1.2 des certificats plus anciens (MD5)

Options de téléchargement

  • PDF     (255.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (93.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (81.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 août 2015
ID du document:200025

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit les étapes nécessaires à appliquer en cas de problème de communication TLS, ou d'accès à l'interface Web, après la mise à niveau vers AsyncOS for Email Security version 9.5 ou ultérieure sur les appareils de sécurité de la messagerie Cisco (ESA).

Les certificats hérités (MD5) entraînent l'échec de la communication TLSv1.2 sur 9.5 AsyncOS pour les mises à niveau de sécurité de la messagerie et les versions ultérieures

Remarque : voici une solution de contournement répertoriée pour les certificats de démonstration actuellement appliqués à l'appliance. Cependant, les étapes ci-dessous peuvent également s'appliquer à tout certificat signé MD5.

Lors d'une mise à niveau vers AsyncOS for Email Security version 9.5 et ultérieure, tous les certificats de démonstration hérités IronPort encore utilisés et appliqués pour la livraison, la réception ou LDAP peuvent rencontrer des erreurs lors de la tentative de communication via TLSv1/TLSv1.2 avec certains domaines.  L'erreur TLS entraînera l'échec de toutes les sessions entrantes ou sortantes.

Si les certificats sont appliqués à l'interface HTTPS, les navigateurs Web modernes ne pourront pas accéder à l'interface Web de l'appliance.

Les journaux de messagerie doivent être similaires à l'exemple suivant :

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

Cette erreur est causée par l'algorithme de signature appliqué à l'ancien certificat MD5 ; cependant, les certificats associés à l'appliance/navigateur de connexion prennent uniquement en charge les algorithmes basés sur la signature SHA. Bien que les anciens certificats de démonstration portant la signature MD5 se trouvent sur l'appliance en même temps que le nouveau certificat de démonstration basé sur SHA, l'erreur ci-dessus ne se manifeste que si le certificat basé sur la signature MD5 est appliqué aux sections spécifiées (c'est-à-dire réception, remise, etc.)

Voici un exemple tiré de l'interface de ligne de commande d'une appliance qui possède les certificats MD5 plus anciens en plus du nouveau certificat de démonstration (Remarque : le certificat plus récent (Démo) doit être le plus récent algorithme SHA et avoir une date d'expiration plus longue que les certificats de démonstration plus anciens) :


List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days

Actions correctives

1. Accédez au Web (interface utilisateur) : Réseau > Certificats
2. Vérifiez que vous disposez actuellement des certificats les plus anciens et du nouveau certificat de démonstration SHA.
3. En fonction de l'endroit où les anciens certificats de démonstration sont appliqués, remplacez-les par un nouveau certificat de démonstration.

En général, ces certificats sont appliqués dans les sections suivantes :

  • Réseau > Modules d'écoute > Puis nom du module d'écoute > Certificat
  • Politiques de messagerie > Contrôles de destination > Modifier les paramètres globaux > Certificat
  • Network > IP Interface > Choisissez l'interface associée à l'accès GUI > HTTPS Certificate
  • Administration système > LDAP > Modifier les paramètres > Certificat

4. Une fois que tous les certificats ont été remplacés, vérifiez à partir de la ligne de commande que la communication TLS a réussi.

Exemple de communication TLS opérationnelle négociée à l'aide de TLSv1.2 :

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

Actions correctives CLI (si l'interface utilisateur graphique n'est pas accessible)

Il peut être nécessaire de modifier le certificat sur chaque interface IP sur laquelle un certificat est activé pour le service HTTPS.  Afin de modifier le certificat utilisé pour les interfaces, exécutez les commandes suivantes sur l'interface de ligne de commande :

  1. Tapez interfaceconfig.
  2. Sélectionnez Modifier.
  3. Saisissez le numéro de l'interface que vous souhaitez modifier.
  4. Utilisez la touche Retour pour accepter les paramètres actuels de chaque question présentée.  Lorsque l'option du certificat à appliquer est présentée, sélectionnez le certificat de démonstration :
    1. 1. Ironport Demo Certificate
      2. Demo
      Please choose the certificate to apply:
      [1]> 2

      You may use "Demo", but this will not be secure.
      Do you really wish to use the "Demo" certificate? [N]> Y

  5. Terminez de parcourir les invites de paramètres jusqu'à ce que toutes les questions de configuration soient terminées.

  6. Utilisez la touche Retour pour accéder à l'invite principale de l'interface de ligne de commande.

  7. Utilisez la commande Commit pour enregistrer vos modifications de configuration.

Remarque : n'oubliez pas de valider les modifications après avoir modifié le certificat utilisé sur l'interface.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
13-Jul-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits