9.5及更高版本的AsyncOS for Email Security升级,使用较旧的证书(MD5)通信TLSv1.2失败

下载选项

  • PDF     (342.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (83.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (69.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 8 月 7 日
文档 ID:200025

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在思科邮件安全设备(ESA)升级到AsyncOS for Email Security 9.5版或更高版本后,遇到TLS通信问题或访问网络界面时应用的必要步骤。

传统证书(MD5)会导致9.5 AsyncOS上用于邮件安全升级和更新版本的TLSv1.2通信失败

注意:以下是设备上应用的当前演示证书的已列出解决方法。但是,以下步骤可能也适用于任何MD5签名证书。

升级到AsyncOS for Email Security 9.5版和更新版本后,任何仍在使用并申请交付、接收或LDAP的旧版IronPort演示证书在尝试通过TLSv1/TLSv1.2与某些域通信时都可能会遇到错误。  TLS错误将导致所有入站或出站会话失败。

如果将证书应用到HTTPS界面,则现代Web浏览器将无法访问设备的Web界面。

邮件日志应类似于以下示例:

Tue Jun 30 15:27:59 2015 Info: ICID 4420993 TLS failed: (336109761, 
'error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher')

此错误是由应用于旧证书(即MD5)的签名算法引起的;但是,与连接设备/浏览器关联的证书仅支持基于SHA签名的算法。虽然具有MD5签名的较旧演示证书在设备上与新的基于SHA的演示证书同时存在,但仅当基于MD5签名的证书应用于指定部分(例如接收、传送等)时,上述错误才会显现

以下示例是从设备的cli提取的,该设备除新的演示证书外还包含旧的MD5证书(注意:较新的证书(演示)应该是SHA算法的新证书,并且到期日期比较旧的演示证书长):


List of Certificates
 Name       Common Name           Issued By             Status         Remaining
 ---------  --------------------  --------------------  -------------  ---------
 delivery_  IronPort Appliance D  IronPort Appliance D  Active          303 days
 https_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 ldaps_cer  IronPort Appliance D  IronPort Appliance D  Active          303 days
 receiving  IronPort Appliance D  IronPort Appliance D  Valid           303 days
 Demo       Cisco Appliance Demo  Cisco Appliance Demo  Active         3218 days

纠正措施

1. 导航至Web (UI):网络>证书
2. 验证您当前安装了较早的证书并且还安装了新的SHA演示证书。
3. 根据旧演示证书的应用位置,将此证书替换为新的演示证书。

通常,在以下部分可以找到正在应用的这些证书:

  • 网络(Network) >侦听程序(Listeners) >侦听程序的名称(Then name of the listener) >证书(Certificate)
  • 邮件策略(Mail Policies) >目标控制(Destination Controls) >编辑全局设置(Edit Global Settings) >证书(Certificate)
  • Network > IP Interface > Choose interface associated with GUI access > HTTPS Certificate
  • 系统管理> LDAP >编辑设置>证书

4. 替换所有证书后,请从命令行验证TLS通信现在是否成功。

使用TLSv1.2协商的有效TLS通信示例:

Thu Jul  2 16:38:30 2015 Info: New SMTP ICID 4435675 interface Data1 (10.0.10.1) 
address 209.85.213.182 reverse dns host mail-ig0-f182.google.com verified yes
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 ACCEPT SG UNKNOWNLIST match sbrs[0.0:10.0] SBRS 4.8
Thu Jul  2 16:38:30 2015 Info: ICID 4435675 TLS success protocol TLSv1.2 cipher AES128-GCM-SHA256

CLI更正操作(如果无法访问GUI)

可能需要在为HTTPS服务启用了证书的每个IP接口上修改证书。 要修改用于接口的证书,请在CLI上运行以下命令:

  1. 键入interfaceconfig
  2. 选择edit
  3. 输入要编辑的接口编号。
  4. 使用return键接受所提出每个问题的当前设置。 当显示要应用的证书选项时,请选择演示证书:
    1. 1. Ironport Demo Certificate
      2. Demo
      Please choose the certificate to apply:
      [1]> 2

      You may use "Demo", but this will not be secure.
      Do you really wish to use the "Demo" certificate? [N]> Y

  5. 完成设置提示的逐步操作,直到完成所有配置问题。

  6. 使用return键退出到主CLI提示符。

  7. Usecommit:保存对配置所做的更改。

注意:请记住在更改接口上正在使用的证书后提交更改。

相关信息

修订历史记录

版本 发布日期 备注
1.0
13-Jul-2015
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品