9.5 en nieuwer AsyncOS voor e-mail security upgrade met oudere certificaten (MD5) voor communicatie met TLSv1.2 is mislukt

Downloadopties

  • PDF     (255.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (91.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (79.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 augustus 2015
Document-id:200025

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de stappen die moeten worden toegepast wanneer u een probleem hebt met TLS-communicatie of wanneer u toegang hebt tot de webinterface, na een upgrade naar AsyncOS voor e-mail security versie 9.5 of nieuwer op de Cisco Email Security applicaties (ESA).

Verouderde certificaten (MD5) maken dat TLSv1.2-communicatie mislukt op 9.5 AsyncOS voor e-mail security upgrades en nieuwer

Opmerking: de volgende tijdelijke oplossing wordt vermeld voor de huidige democertificaten die op het apparaat worden toegepast. De onderstaande stappen kunnen echter ook van toepassing zijn op alle MD5 ondertekende certificaten.

Bij het uitvoeren van een upgrade naar AsyncOS voor Email Security versie 9.5 en nieuwer, kan elk van de bestaande IronPort-democertificaten die nog steeds in gebruik zijn en toegepast worden voor levering, ontvangst of LDAP, fouten ervaren tijdens het communiceren via TLSv1/TLSv1.2 met sommige domeinen.  Door de TLS-fout worden alle inkomende of uitgaande sessies mislukt.

Als de certificaten worden toegepast op de HTTPS-interface, hebben moderne webbrowsers geen toegang tot de webinterface van het apparaat.

Mail Logs moeten er hetzelfde uitzien als het volgende voorbeeld:

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

Deze fout wordt veroorzaakt door het handtekeningsalgoritme dat op het oudere certificaat is toegepast, namelijk MD5. De certificaten die aan het aansluitende apparaat/de browser zijn gekoppeld, ondersteunen echter alleen op SHA-handtekeningen gebaseerde algoritmen. Hoewel de oudere democertificaten met de MD5-handtekening zich tegelijkertijd op het apparaat bevinden en het nieuwe op SHA gebaseerde democertificaat, zal de bovenstaande fout zich alleen manifesteren als het op MD5-handtekeningen gebaseerde certificaat wordt toegepast op de opgegeven secties (bijv. ontvangst, levering, enz.)

Hieronder vindt u een voorbeeld uit de cloud van een apparaat met zowel de oudere MD5-certificaten als het nieuwe Demo-certificaat (Opmerking: het nieuwere certificaat (Demo) moet de nieuwer zijn met het SHA-algoritme en een langere verloopdatum hebben dan de oudere demo-certificaten).


List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days

Correctieve maatregelen

1. Navigeren naar het web (UI): netwerk > certificaten
2. Controleer dat u momenteel de oudere certificaten hebt geïnstalleerd en ook het nieuwe SHA Demo-certificaat hebt.
3. Op basis van de plaats waar de oudere demo certificaten worden toegepast, vervang dit door een nieuw demo certificaat.

Meestal kunnen deze certificaten worden gevonden in de volgende secties:

  • Netwerk > Luisteraars > Vervolgens naam van de luisteraar > Certificaat
  • E-mailbeleid > Bestemmingscontrole > Algemene instellingen bewerken > Certificaat
  • Netwerk > IP-interface > Kies een interface voor GUI-toegang > HTTPS-certificaat
  • Systeembeheer > LDAP > Instellingen bewerken > Certificaat

4. Zodra alle certificaten zijn vervangen, controleert u vanaf de opdrachtregel of de TLS-communicatie nu is geslaagd.

Voorbeeld van TLS-communicatie tijdens werkonderhandelingen met TLSv1.2:

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

CLI-corrigerende acties (als GUI niet kan worden geopend)

Het certificaat moet mogelijk worden aangepast op elke IP-interface met een certificaat dat geschikt is voor HTTPS-service.  Als u het certificaat wilt wijzigen dat wordt gebruikt voor interfaces, voert u de volgende opdrachten op de CLI uit:

  1. Type interfaceconfiguratie.
  2. Selecteer Bewerken.
  3. Voer het nummer in van de interface die u wilt bewerken.
  4. Gebruik de terugkeertoets om de huidige instellingen te aanvaarden voor elke gestelde vraag.  Wanneer de optie voor het toe te passen certificaat wordt gepresenteerd, selecteert u het Demo-certificaat:
    1. 1. Ironport Demo Certificate
      2. Demo
      Please choose the certificate to apply:
      [1]> 2

      You may use "Demo", but this will not be secure.
      Do you really wish to use the "Demo" certificate? [N]> Y

  5. Als u klaar bent met het doorlopen van de instellingenaanwijzingen, worden alle configuratievragen beantwoord.

  6. Gebruik de terugkeertoets om naar de belangrijkste CLI-prompt te gaan.

  7. Schakel deze optie uit om uw wijzigingen in de configuratie op te slaan.

Opmerking: vergeet niet wijzigingen te plegen nadat u het certificaat hebt gewijzigd dat wordt gebruikt op de interface.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
13-Jul-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten