O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como criar um certificado para uso com TLS, ativar TLS de entrada/saída e solucionar problemas no Cisco ESA.
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
A implementação do TLS no ESA fornece privacidade para transmissão ponto a ponto de e-mails através de criptografia. Permite que um administrador importe um certificado e uma chave privada de um serviço de Autoridade de Certificação (CA) ou use um certificado autoassinado.
O Cisco AsyncOS para Email Security oferece suporte à extensão STARTTLS para o Simple Mail Transfer Protocol (SMTP) (Secure SMTP over TLS).
Dica: para obter mais informações sobre TLS, consulte RFC 3207.
Observação: este documento descreve como instalar certificados no nível de cluster com o uso do recurso de gerenciamento centralizado no ESA. Os certificados também podem ser aplicados no nível da máquina; no entanto, se a máquina for removida do cluster e adicionada novamente, os certificados no nível da máquina serão perdidos.
Um administrador deseja criar um certificado autoassinado no equipamento por qualquer um destes motivos:
O ESA vem pré-configurado com um certificado de demonstração que pode ser usado para estabelecer conexões TLS.
Cuidado: embora o certificado de demonstração seja suficiente para o estabelecimento de uma conexão TLS segura, lembre-se de que ele não pode oferecer uma conexão verificável.
A Cisco recomenda que você obtenha um certificado X.509 ou Privacy Enhanced Email (PEM) de uma CA. Isso também é chamado de certificado Apache. O certificado de uma CA é desejável em relação ao certificado autoassinado porque um certificado autoassinado é semelhante ao certificado de demonstração mencionado anteriormente, que não pode oferecer uma conexão verificável.
Observação: o formato do certificado PEM é definido mais detalhadamente no RFC 1421 até o RFC 1424. O PEM é um formato de contêiner que pode incluir apenas o certificado público (como em instalações Apache e arquivos de certificado CA /etc/ssl/certs) ou uma cadeia de certificados inteira, para incluir a chave pública, a chave privada e os certificados raiz. O nome PEM é de um método com falha para e-mail seguro, mas o formato de contêiner que ele usou ainda está ativo e é uma conversão de base 64 das chaves X.509 ASN.1.
A opção para importar seu próprio certificado está disponível no ESA; no entanto, o requisito é que o certificado esteja no formato PKCS#12. Esse formato inclui a chave privada. Normalmente, os administradores não têm certificados disponíveis nesse formato. Por esse motivo, a Cisco recomenda que você gere o certificado no ESA e o assine corretamente por uma CA.
Se um certificado que já existe tiver expirado, ignore a seção Implantação de Certificados AutoAssinados deste documento e assine novamente o certificado que existe.
Dica: consulte o documento Renovar um certificado em um dispositivo de segurança de e-mail da Cisco para obter mais detalhes.
Esta seção descreve como gerar um certificado autoassinado e uma CSR (Certificate Signing Request, Solicitação de assinatura de certificado), fornecer o certificado autoassinado a uma CA para assinatura, carregar o certificado assinado para o ESA, especificar o certificado para uso com os serviços ESA e fazer backup da configuração do dispositivo e do(s) certificado(s).
Para criar um certificado autoassinado via CLI, insira o comando certconfig.
Para criar um certificado autoassinado a partir da GUI:
Observação: o nome de host do sistema não afeta as conexões TLS no que diz respeito a ser verificável. O nome de host do sistema é mostrado no canto superior direito da GUI do equipamento ou na saída do comando CLI sethostname.
Cuidado: lembre-se de enviar e confirmar suas alterações antes de exportar o CSR. Se essas etapas não forem concluídas, o novo certificado não será confirmado na configuração do equipamento e o certificado assinado da CA não poderá assinar, nem ser aplicado a, um certificado que já exista.
Para enviar o certificado autoassinado a uma CA para assinatura:
Em seguida, a CA gera um certificado no formato PEM.
Observação: para obter uma lista de provedores de CA, consulte o artigo da Wikipédia sobre autoridade de certificação.
Depois que a CA retornar o certificado público confiável que é assinado por uma chave privada, carregue o certificado assinado no ESA.
O certificado pode ser usado com um ouvinte público ou privado, um serviço HTTPS de interface IP, a interface LDAP ou todas as conexões TLS de saída para os domínios de destino.
Para carregar o certificado assinado no ESA:
Dica: você pode usar o OpenSSL toolkit, um programa de software gratuito, para converter o formato.
Observação: quando você faz upload do novo certificado, ele substitui o certificado atual. Um certificado intermediário relacionado ao certificado autoassinado também pode ser carregado.
Cuidado: lembre-se de enviar e confirmar as alterações depois de carregar o certificado assinado.
Agora que o certificado foi criado, assinado e carregado no ESA, ele pode ser usado para os serviços que exigem o uso do certificado.
Conclua estas etapas para usar o certificado para os serviços TLS de entrada:
Conclua estas etapas para usar o certificado para os serviços TLS de saída:
Conclua estas etapas para usar o certificado para os serviços HTTPS:
Conclua estas etapas para usar o certificado para LDAPs:
Para usar o certificado para filtragem de URL:
Do you want to set client certificate for Cisco Web Security Services Authentication?
Certifique-se de que a configuração do equipamento esteja salva neste momento. A configuração do equipamento contém o trabalho de certificado concluído que foi aplicado através dos processos descritos anteriormente.
Conclua estas etapas para salvar o arquivo de configuração do equipamento:
Observação: esse processo salva o certificado no formato PKCS#12, que cria e salva o arquivo com proteção por senha.
Para ativar o TLS para todas as sessões de entrada, conecte-se à GUI da Web, escolha Políticas de e-mail > Políticas de fluxo de e-mail para o ouvinte de entrada configurado e, em seguida, conclua estas etapas:
A política de fluxo de e-mail para o ouvinte agora é atualizada com as configurações de TLS que você escolheu.
Conclua estes passos para ativar o TLS para sessões de entrada que chegam de um conjunto selecionado de domínios:
A política de fluxo de e-mail para o grupo de remetente agora está atualizada com as configurações de TLS escolhidas.
Dica: consulte este artigo para obter mais informações sobre como o ESA lida com a verificação TLS : Qual é o algoritmo para a verificação de certificado no ESA?
Para ativar o TLS para sessões de saída, conecte-se à GUI da Web, escolha Políticas de e-mail > Controles de destino e conclua estas etapas:
O TLS funciona com um certificado autoassinado; no entanto, se a verificação do TLS for exigida pelo remetente, um certificado assinado pela CA precisará ser instalado.
A verificação TLS pode falhar mesmo que um certificado assinado por uma CA tenha sido instalado no ESA.
Nesses casos, é recomendável verificar o certificado através das etapas na seção Verificar.
Para verificar o certificado assinado pela CA, aplique o certificado ao serviço HTTPS da GUI do ESA.
Em seguida, navegue até a GUI do seu ESA no navegador da Web. Se houver avisos quando você navegar para https://youresa, é provável que o certificado esteja encadeado incorretamente, como a ausência de um certificado intermediário.
Antes do teste, certifique-se de que o certificado a ser testado seja aplicado no ouvinte em que seu equipamento recebe e-mails de entrada.
Ferramentas de terceiros, como CheckTLS.com e SSL-Tools.net podem ser usadas para verificar o encadeamento adequado do certificado.
Exemplo de saída CheckTLS.com para êxito de verificação TLS
Exemplo de saída CheckTLS.com para falha de verificação de TLS
Nome de host de certificado NÃO VERIFICA (mailC.example.com != gvsvipa006.example.com)
Nota: Se um certificado autoassinado estiver em uso, o resultado esperado na coluna "Certificado OK" será "FALHA".
Se um certificado assinado por uma CA estiver em uso e a verificação TLS ainda falhar, verifique se estes itens correspondem:
Se um certificado assinado por uma autoridade de certificação tiver sido instalado e você vir erros, vá para a próxima seção para obter informações sobre como solucionar o problema.
Esta seção descreve como solucionar problemas básicos de TLS no ESA.
Procure certificados intermediários duplicados, especialmente quando os certificados atuais são atualizados em vez de criar um novo certificado. O(s) certificado(s) intermediário(is) foi(ram) alterado(s) ou foi(ram) encadeado(s) incorretamente, e o certificado possivelmente carregou vários certificados intermediários. Isso pode introduzir problemas de verificação e encadeamento de certificados.
Você pode configurar o ESA para enviar um alerta se a negociação TLS falhar quando as mensagens forem entregues a um domínio que requer uma conexão TLS. A mensagem de alerta contém o nome do domínio de destino para a negociação TLS que falhou. O ESA envia a mensagem de alerta a todos os destinatários definidos para receber alertas de nível de severidade de aviso para os tipos de alerta do sistema.
Observação: esta é uma configuração global, portanto, não pode ser definida por domínio.
Conclua estas etapas para ativar os alertas de conexão TLS:
Dica: você também pode definir essa configuração com o comando CLI destconfig > setup.
O ESA também registra as instâncias para as quais o TLS é necessário para um domínio, mas não pode ser usado nos logs de e-mail do equipamento. Isso ocorre quando qualquer uma destas condições é atendida:
As conexões TLS são registradas nos logs de e-mail, juntamente com outras ações significativas relacionadas a mensagens, como ações de filtro, vereditos de antivírus e antisspam e tentativas de entrega. Se houver uma conexão TLS bem-sucedida, haverá uma entrada TLS bem-sucedida resultante nos logs de e-mail. Da mesma forma, uma conexão TLS com falha produz uma entrada TLS com falha. Se uma mensagem não tiver uma entrada TLS associada no arquivo de registro, essa mensagem não foi entregue por uma conexão TLS.
Dica: para compreender os logs de e-mail, consulte o documento ESA Message Disposition Determination Cisco.
Aqui está um exemplo de uma conexão TLS bem-sucedida do host remoto (recepção):
Tue Apr 17 00:57:53 2018 Info: New SMTP ICID 590125205 interface Data 1 (192.168.1.1) address 10.0.0.1 reverse dns host mail.example.com verified yes
Tue Apr 17 00:57:53 2018 Info: ICID 590125205 ACCEPT SG SUSPECTLIST match sbrs[-1.4:2.0] SBRS -1.1
Tue Apr 17 00:57:54 2018 Info: ICID 590125205 TLS success protocol TLSv1 cipher DHE-RSA-AES256-SHA
Tue Apr 17 00:57:55 2018 Info: Start MID 179701980 ICID 590125205
Aqui está um exemplo de falha de conexão TLS do host remoto (recepção):
Mon Apr 16 18:59:13 2018 Info: New SMTP ICID 590052584 interface Data 1 (192.168.1.1) address 10.0.0.1 reverse dns host mail.example.com verified yes
Mon Apr 16 18:59:13 2018 Info: ICID 590052584 ACCEPT SG UNKNOWNLIST match sbrs[2.1:10.0] SBRS 2.7
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 TLS failed: (336109761, 'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 lost
Mon Apr 16 18:59:14 2018 Info: ICID 590052584 close
Aqui está um exemplo de uma conexão TLS bem-sucedida com o host remoto (entrega):
Tue Apr 17 00:58:02 2018 Info: New SMTP DCID 41014367 interface 192.168.1.1 address 10.0.0.1 port 25
Tue Apr 17 00:58:02 2018 Info: DCID 41014367 TLS success protocol TLSv1.2 cipher ECDHE-RSA-AES256-GCM-SHA384
Tue Apr 17 00:58:03 2018 Info: Delivery start DCID 41014367 MID 179701982 to RID [0]
Aqui está um exemplo de falha de conexão TLS com o host remoto (entrega):
Mon Apr 16 00:01:34 2018 Info: New SMTP DCID 40986669 interface 192.168.1.1 address 10.0.0.1 port 25
Mon Apr 16 00:01:35 2018 Info: Connection Error: DCID 40986669 domain: domain IP:10.0.0.1 port: 25 details: 454-'TLS not available due to
temporary reason' interface: 192.168.1.1 reason: unexpected SMTP response
Mon Apr 16 00:01:35 2018 Info: DCID 40986669 TLS failed: STARTTLS unexpected response
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
29-Mar-2024 |
Recertificação |
1.0 |
05-Aug-2015 |
Versão inicial |