思科郵件安全裝置(ESA)上的證書驗證演算法是什麼?

下載選項

  • PDF     (310.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (77.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (62.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2016 年 6 月 24 日
文件 ID:200537

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

使用TLS透過思科郵件安全裝置(ESA)傳送郵件時,您可以選擇使用「驗證」或「託管驗證」選項執行證書驗證。  這是確保電子郵件在TLS上傳送的關鍵部分,瞭解驗證如何執行非常重要。

思科郵件安全裝置(ESA)上的證書驗證演算法是什麼?

實際上有兩個演算法,一個用於「驗證」選項,另一個用於「託管驗證」選項。  通常建議使用「託管驗證」選項,因為它與更多種方案相容。

背景資訊

  • 本文檔基於AsyncOS 8.0.1及更高版本。  舊版AsyncOS的行為可能稍有不同。
  • 除非另有指定,否則支援萬用字元比對
  • 每個演演算法都會在成功比對後停止,而且不會評估後續的檢查
  • CLI命令tlsverify使用「驗證演算法」

定義

  • CN:這是公用名,是證書主題的一部分
  • SAN:這是X.509的主體替代名稱擴展。在本文檔中使用時,我們特別指的是SAN欄位中包含的任何DNS名稱。
  • 電子郵件域:這是收件人電子郵件地址的域部分。  例如,當傳送至'user@example.com'時,電子郵件網域為'example.com'
  • MX主機名:這些是電子郵件域MX記錄的主機名
  • PTR主機名:這是ESA所連線的IP地址的DNS PTR查詢返回的主機名
  • SMTP路由主機名:如果為此目標配置了SMTP路由,則這是SMTP路由中使用的主機名

託管驗證演算法

  1. 如果憑證包含SAN屬性,則會使用這些屬性,且會忽略CN。  僅當證書中沒有SAN屬性時,才會使用CN。  這符合RFC 6125
  2. 已針對電子郵件網域檢查憑證。
  3. 系統會根據可能存在的任何SMTP路由主機名檢查證書。
  4. 憑證會根據MX主機名稱進行檢查。
  5. 如果之前的任何檢查均未成功,則驗證失敗。

驗證演演算法

  1. SAN屬性會根據電子郵件網域進行檢查。
  2. 已針對電子郵件網域檢查CN。 

    注意:不支援萬用字元匹配。

  3. 根據PTR主機名檢查SAN屬性。
  4. 如果之前的任何檢查均未成功,則驗證失敗。

修訂記錄

修訂 發佈日期 意見
1.0
24-Jun-2016
初始版本
TAC Authored

由思科工程師貢獻

  • 約翰·赫斯
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品