ESA的TLS配置常见问题

简介

本文档介绍有关在邮件安全设备(ESA)上配置传输层安全(TLS)的常见问题。

什么是TLS？

如RFC 3207中所定义，“TLS是SMTP服务的扩展，它允许SMTP服务器和客户端使用传输层安全来通过Internet提供经过身份验证的专用通信。TLS是一种通过隐私和身份验证增强TCP通信的常用机制。” ESA上的STARTTLS实施通过加密提供私密性。它允许您从证书颁发机构服务导入X.509证书和私钥，或使用自签名证书。

在ESA上启用TLS需要什么？

启用TLS需要执行以下步骤：

1. 获得证书
2. 在ESA上安装证书
3. 在系统中启用TLS以进行接收、传送或两者

注意：ESA包括用于测试的演示证书。演示证书不安全，不建议用于一般用途。

有关详细信息，请参阅ESA证书安装要求。

如何启用TLS进行接收？

以下步骤对于要求远程主机与您的ESA公共侦听程序（接收）通信的TLS是必需的。在与远程主机通信的侦听程序的主机访问表(HAT)中启用TLS：

1. 转至GUI：邮件策略(Mail Policies) >邮件流策略(Mail Flow Policies)
2. 从“邮件流策略”(Mail Flow Policies)页面上的侦听程序下拉菜单中选择远程主机将连接到的侦听程序。
3. 通过点击策略名称并选中Edit Policy页面底部的Use TLS复选框，对一个或多个邮件流策略启用TLS。

有关详细信息，请参阅如何在ESA侦听程序上为入站连接加密启用TLS？

如何启用TLS进行传送？

要启用TLS以传输到远程域中的主机，必须执行以下步骤。

1. 转至GUI：邮件策略(Mail Policies) >目标控制(Destination Controls)
2. 为要使用TLS的域添加新目标
3. 设置并发限制、收件人限制和退回配置文件，或者接受默认值。
4. 为域应用TLS设置(No、Preferred或Required)

有关详细信息，请参阅如何控制传送中的TLS协商？

如何确定ESA是否使用TLS？

ESA邮件日志包含成功和失败的TLS连接的条目。可以使用命令行工具(如grep)搜索特定日志条目。您还可以通过GUI在TLS连接失败时配置系统警报：系统管理(System Administration) >警报(Alerts)页面或CLI alertconfig命令。

有关详细信息，请参阅确定ESA是否使用TLS传送或接收

有关详细信息，请参阅《Cisco AsyncOS for Email User Guide》（Cisco AsyncOS for Email用户指南）中的“Encrypting Communication with other MTA”（加密与其他MTA的通信）一章。

相关信息

• 最终用户指南AsyncOS for Email