はじめに
このドキュメントでは、Cisco E メール セキュリティ アプライアンス(ESA)で E メール セキュリテイ向け AsyncOS バージョン 9.5 以降にアップグレードした後、TLS 通信の問題が発生した場合、または Web インターフェイスにアクセスする場合に実施する必要のある手順につていて説明します。
レガシー証明書(MD5)を使用すると、E メール セキュリティ向け AsyncOS 9.5 以降にアップグレードした後、TLSv1.2 通信が失敗する
注:アプライアンスに適用されている現在のデモ証明書に対する回避策を次に示します。ただし、以下の手順が MD5 署名付きの証明書にも適用される場合があります。
E メール セキュリテイ向け AsyncOS バージョン 9.5 以降にアップグレードする際に、配信、受信、LDAP に適用される使用中のレガシー IronPort デモ証明書では、一部のドメインで TLSv1/TLSv1.2 を介して通信を試行する際にエラーが発生する可能性があります。 TLS のエラーにより、すべての着信または発信セッションは失敗します。
HTTPS インターフェイスに証明書が適用される場合、最新の Web ブラウザはアプライアンスの Web インターフェイスへのアクセスに失敗します。
メールのログは、次の例のようになります。
Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761,
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
このエラーは、MD5である古い証明書に適用された署名アルゴリズムが原因で発生します。ただし、接続アプライアンス/ブラウザに関連付けられた証明書は、SHA署名ベースのアルゴリズムのみをサポートします。MD5 署名がある古いデモ証明書は SHA ベースの新しいデモ証明書がある同じアプライアンスに存在しますが、上記のエラーは、MD5 署名ベースの証明書が指定されたセクション(受信や配信など)に適用された場合にのみ発生します。
以下に、新しいデモ証明書に加えて古いMD5証明書を持つアプライアンスのCLIから取得した例を示します(注:新しい証明書(デモ)は新しいSHAアルゴリズムである必要があり、古いデモ証明書よりも長い有効期限があります)。
List of Certificates
Name Common Name Issued By Status Remaining
--------- -------------------- -------------------- ------------- ---------
delivery_ IronPort Appliance D IronPort Appliance D Active 303 days
https_cer IronPort Appliance D IronPort Appliance D Active 303 days
ldaps_cer IronPort Appliance D IronPort Appliance D Active 303 days
receiving IronPort Appliance D IronPort Appliance D Valid 303 days
Demo Cisco Appliance Demo Cisco Appliance Demo Active 3218 days
修正処置
1. Web (UI)に移動します: Network > Certificates
2. また、新しいSHAデモンストレーションの証明書を持ち、同じことを現在インストールされている古い証明書を確認します。
3. デモに基づいて古い証明書が適用されている場所にいるかをデモ新しい証明書にこれを交換します。
通常、これらの証明書は、以下のセクションに適用されます。
- [Network] > [Listeners] > [Then name of the listener] > [Certificate]
- [Mail Polices] > [Destination Controls] > [Edit Global Settings] > [Certificate]
- [Network] > [IP Interface] > [Choose interface associated with GUI access] > [HTTPS Certificate]
- [System Administration] > [LDAP] > [Edit Settings] > [Certificate]
4. すべての証明書を交換したら、コマンドラインからTLS通信が成功したことを確認します。
TLSv1.2 を使用してネゴシエートされる稼働中の TLS 通信の例
Thu Jul 2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1)
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul 2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256
CLI による修正措置(GUI にアクセスできない場合)
HTTPS サービス向けに有効化されている証明書がある各 IP インターフェイスで証明書を変更する必要がある場合があります。 インターフェイスで使用されている証明書を変更するには、CLI で次のコマンドを実行します。
- 「interfaceconfig」と入力します。
- [Edit] を選択します。
- 編集するインターフェイスの番号を入力します。
- リターン キーを使用して、表示された各質問の現在の設定を受け入れます。 適用する証明書のオプションが表示されたら、[Demo certificate] を選択します。
-
1. Ironport Demo Certificate
2. Demo
Please choose the certificate to apply:
[1]> 2
You may use "Demo", but this will not be secure.
Do you really wish to use the "Demo" certificate? [N]> Y
-
すべての設定の質問が完了するまで、設定プロンプトの手順を実行します。
-
リターン キーを使用して、メイン CLI プロンプトに戻ります。
- commit を使用して、設定に加えた変更を保存します。
注:インターフェイスで使用する証明書を変更した後、変更を必ずコミットしてください。
関連情報
フィードバック