Atualização do AsyncOS para Email Security 9.5 e mais recente com TLSv1.2 de comunicação de certificados mais antigos (MD5) para falhar

Opções de download

  • PDF     (256.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (92.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (80.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:7 de agosto de 2015
ID do documento:200025

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas necessárias a serem aplicadas se encontrar um problema com a comunicação TLS, ou acessar a interface da Web, após a atualização para o AsyncOS for Email Security versão 9.5 ou mais recente no Cisco Email Security Appliances (ESA).

Os certificados herdados (MD5) fazem com que a comunicação TLSv1.2 falhe no 9.5 AsyncOS para atualizações de segurança de e-mail e mais recentes

Observação: esta é uma solução alternativa listada para os certificados de demonstração atuais aplicados no equipamento. No entanto, as etapas abaixo também podem se aplicar a qualquer certificado assinado MD5.

Ao executar uma atualização para o AsyncOS para Email Security versão 9.5 e mais recente, qualquer um dos certificados de demonstração legados do IronPort ainda em uso e aplicados para entrega, recebimento ou LDAP pode experimentar erros ao tentar se comunicar via TLSv1/TLSv1.2 com alguns domínios.  O erro de TLS fará com que todas as sessões de entrada ou saída falhem.

Se os certificados forem aplicados à interface HTTPS, os navegadores da Web modernos não conseguirão acessar a interface da Web do equipamento.

Os logs de e-mail devem ser semelhantes ao seguinte exemplo:

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

Esse erro é causado pelo algoritmo de assinatura aplicado ao certificado mais antigo sendo MD5; no entanto, os certificados associados ao aplicativo/navegador de conexão só oferecem suporte a algoritmos baseados em assinatura SHA. Embora, os certificados de demonstração mais antigos que têm a assinatura MD5 estejam no dispositivo ao mesmo tempo que o novo certificado de demonstração baseado em SHA, o erro acima só se manifestará se o certificado baseado em assinatura MD5 for aplicado às seções especificadas (ou seja, recebimento, entrega, etc.)

Abaixo está um exemplo extraído da cli de um equipamento que tem ambos os certificados MD5 mais antigos, além do novo certificado de demonstração (Observação: o certificado mais recente (Demonstração) deve ser o mais novo o algoritmo SHA e ter uma data de expiração mais longa do que os certificados de demonstração mais antigos).:


List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days

Ações Corretivas

1. Navegue até a Web (UI): Rede > Certificados
2. Verifique se você tem atualmente os certificados mais antigos instalados e também tem o novo certificado de demonstração SHA.
3. Com base no local em que os certificados de demonstração mais antigos são aplicados, substitua-o pelo novo certificado de demonstração.

Normalmente, esses certificados podem ser encontrados sendo aplicados nas seguintes seções:

  • Rede > Listeners > Depois, o nome do listener > Certificado
  • Políticas de e-mail > Controles de destino > Editar configurações globais > Certificado
  • Rede > Interface IP > Escolher interface associada ao acesso via GUI > Certificado HTTPS
  • Administração do sistema > LDAP > Editar configurações > Certificado

4. Depois que todos os certificados tiverem sido substituídos, verifique pela linha de comando se a comunicação TLS agora foi bem-sucedida.

Exemplo de como trabalhar a comunicação TLS sendo negociada usando TLSv1.2:

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

Ações corretivas da CLI (se a GUI não puder ser acessada)

O certificado pode precisar ser modificado em cada interface IP que tenha um certificado habilitado para o serviço HTTPS.  Para modificar o certificado em uso para interfaces, execute os seguintes comandos na CLI:

  1. Digite interfaceconfig.
  2. Selecione editar.
  3. Digite o número da interface que deseja editar.
  4. Use a tecla Return para aceitar as configurações atuais para cada pergunta apresentada.  Quando a opção para o certificado a ser aplicado for apresentada, selecione o certificado de demonstração:
    1. 1. Ironport Demo Certificate
      2. Demo
      Please choose the certificate to apply:
      [1]> 2

      You may use "Demo", but this will not be secure.
      Do you really wish to use the "Demo" certificate? [N]> Y

  5. Termine de percorrer os prompts de configuração até que todas as perguntas de configuração sejam concluídas.

  6. Use a tecla Return para sair para o prompt principal da CLI.

  7. Use commit para salvar suas alterações na configuração.

Observação: lembre-se de confirmar as alterações depois de alterar o certificado em uso na interface.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Jul-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos