configuration de la sécurité de la couche transport version 1.0 sur ESA et CES

Options de téléchargement

  • PDF     (292.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (123.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (98.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:9 août 2024
ID du document:215282

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment activer la sécurité de la couche transport version 1.0 (TLSv1.0) sur les allocations Cisco Email Security Appliance (ESA) et Cisco Cloud Email Security (CES).

    Comment pouvez-vous activer TLSv1.0 sur Cisco ESA et CES ?

    Remarque : les allocations Cisco CES provisionnées ont TLSv1.0 désactivé par défaut conformément aux exigences de sécurité en raison des impacts de vulnérabilité sur le protocole TLSv1.0. Cela inclut la chaîne de chiffrement pour supprimer toute utilisation de la suite de chiffrement partagée SSLv3.

    Attention : les méthodes et les chiffrements SSL/TLS sont définis en fonction des politiques de sécurité et des préférences spécifiques de votre entreprise. Pour obtenir des informations sur les algorithmes de chiffrement tiers, reportez-vous au document TLS Mozilla côté sécurité/serveur pour obtenir des configurations de serveur recommandées et des informations détaillées.

    Afin d'activer TLSv1.0 sur votre Cisco ESA ou CES, vous pouvez le faire à partir de l'interface graphique utilisateur (GUI) ou de l'interface de ligne de commande (CLI).

    Remarque : pour accéder à votre CES sur l'interface de ligne de commande (CLI), consultez : Accès à l'interface de ligne de commande (CLI) de votre solution de sécurisation de la messagerie (CES) dans le cloud

    Interface graphique utilisateur

    1. Connectez-vous à la GUI.
    2. Accédez à Administration système > Configuration SSL.
    3. Sélectionnez Modifier les paramètres.
    4. Cochez la case TLSv1.0. Il est important de noter que TLSv1.2 et ne peuvent pas être activés conjointement avec TLSv1.0 à moins que le protocole de pontage TLSv1.1 ne soit également activé comme indiqué dans l'image :

    2020_02_26_07_33_11_Cisco_Cloud_Email_Security_Appliance_C600V_dh3863_esa1.iphmx.com_System_Admi

    Interface de ligne de commande

    1. Exécutez la commande sslconfig.
    2. Exécutez la commande GUI ou INBOUND ou OUTBOUND selon l'élément pour lequel vous voulez activer TLSv1.0 pour :
    (Cluster Hosted_Cluster)> sslconfig

    sslconfig settings:
    GUI HTTPS method: tlsv1_2
    GUI HTTPS ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Inbound SMTP method: tlsv1_2
    Inbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Outbound SMTP method: tlsv1_2
    Outbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit Inbound SMTP ssl settings.
    - OUTBOUND - Edit Outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    - CLUSTERSET - Set how ssl settings are configured in a cluster.
    - CLUSTERSHOW - Display how ssl settings are configured in a cluster.
    []> INBOUND

    Enter the inbound SMTP ssl method you want to use.
    1. TLS v1.0
    2. TLS v1.1
    3. TLS v1.2
    4. SSL v2
    5. SSL v3
    [3]> 1-3

    Enter the inbound SMTP ssl cipher you want to use.
    [RC4-SHA:RC4-MD5:ALL:-aNULL:-EXPORT]>

    Chiffrements

    Les allocations ESA et CES peuvent être configurées avec des suites de chiffrement strictes. Il est important de s'assurer que les chiffrements SSLv3 ne sont pas bloqués lorsque vous activez le protocole TLSv1.0. Si les suites de chiffrement SSLv3 ne sont pas autorisées, la négociation TLS échoue ou les connexions TLS sont brusquement fermées.

    Exemple de chaîne de chiffrement :

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

    Cette chaîne de chiffrement empêche ESA/CES d'autoriser la négociation sur les chiffrements SSLv3 comme indiqué sur !SSLv3:, cela signifie que lorsque le protocole est demandé dans la connexion, la connexion SSL échoue car il n'y a aucun chiffrement partagé disponible pour la négociation.

    Afin de s'assurer que l'exemple de chaîne de chiffrement fonctionne avec TLSv1.0, il doit être modifié pour supprimer !SSLv3:!TLSv1: vu dans la chaîne de chiffrement remplacée :

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:-aNULL:-EXPORT:-IDEA

    Remarque : vous pouvez vérifier les suites de chiffrement partagées lors de la connexion SSL sur l'interface de ligne de commande ESA/CES à l'aide de la commande VERIFY.

    Erreurs possibles enregistrées dans mail_logs/Message Tracking, mais pas limitées à :

    Sun Feb 23 10:07:07 2020 Info: DCID 1407038 TLS failed: (336032784, 'error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure')
    Sun Feb 23 10:38:56 2020 Info: DCID 1407763 TLS failed: (336032002, 'error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol')

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    09-Aug-2024
    Titre mis à jour pour être conforme aux normes de publication. Correction d'un lien rompu et vérification de l'ouverture de tous les liens dans le nouvel onglet.
    1.0
    25-Feb-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Mathew Huynh
      Ingénieur TAC Cisco
    • Alan Macorra
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco