在ESA和CES上配置傳輸層安全版本1.0

下載選項

  • PDF     (377.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (117.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (90.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 8 月 9 日
文件 ID:215282

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在思科郵件安全裝置(ESA)和思科雲郵件安全(CES)分配上啟用傳輸層安全1.0版(TLSv1.0)。

    如何在Cisco ESA和CES上啟用TLSv1.0?

    :由於漏洞對TLSv1.0協定的影響,根據安全要求,Cisco CES分配預設停用TLSv1.0。其中包括用於刪除SSLv3共用密碼套件所有用法的密碼字串。

    注意SSL/TLS方法和密碼是根據您公司的特定安全策略和首選項設定的。 有關口令的第三方資訊,請參閱安全/伺服器端TLS Mozilla文檔,以瞭解建議的伺服器配置和詳細資訊。

    為了在Cisco ESA或CES上啟用TLSv1.0,您可以從圖形使用者介面(GUI)或命令列介面(CLI)中啟用。

    注意:要在CLI上訪問CES,請檢視:訪問Cloud Email Security (CES)解決方案的命令列介面(CLI)

    圖形使用者介面

    1. 登入到GUI。
    2. 導航到系統管理> SSL配置
    3. 選擇Edit Settings
    4. 選中TLSv1.0框。必須注意的是,TLSv1.2不能與TLSv1.0一起啟用,除非還啟用了橋接協定TLSv1.1,如圖所示:

    2020_02_26_07_33_11_Cisco_Cloud_Email_Security_Appliance_C600V_dh3863_esa1.iphmx.com_System_Admi

    命令列介面

    1. 運行sslconfig命令。
    2. 運行命令GUIINBOUNDOUTBOUND(具體取決於要為以下哪個專案啟用TLSv1.0):
    (Cluster Hosted_Cluster)> sslconfig

    sslconfig settings:
    GUI HTTPS method: tlsv1_2
    GUI HTTPS ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Inbound SMTP method: tlsv1_2
    Inbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT
    Outbound SMTP method: tlsv1_2
    Outbound SMTP ciphers:
    RC4-SHA
    RC4-MD5
    ALL
    -aNULL
    -EXPORT

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit Inbound SMTP ssl settings.
    - OUTBOUND - Edit Outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    - CLUSTERSET - Set how ssl settings are configured in a cluster.
    - CLUSTERSHOW - Display how ssl settings are configured in a cluster.
    []> INBOUND

    Enter the inbound SMTP ssl method you want to use.
    1. TLS v1.0
    2. TLS v1.1
    3. TLS v1.2
    4. SSL v2
    5. SSL v3
    [3]> 1-3

    Enter the inbound SMTP ssl cipher you want to use.
    [RC4-SHA:RC4-MD5:ALL:-aNULL:-EXPORT]>

    密碼

    ESA和CES分配可以使用嚴格的密碼套件進行配置,啟用TLSv1.0協定時,確保SSLv3密碼沒有被阻止,這一點非常重要。如果允許SSLv3密碼套件失敗,則會導致TLS協商失敗或突發TLS連線關閉。

    密碼字串範例:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:!SSLv3:!TLSv1:-aNULL:-EXPORT:-IDEA

    此密碼字串會停止ESA/CES在SSLv3密碼上允許協商,如!SSLv3: 所示,這意味著在握手中請求協定時,SSL握手會失敗,因為不存在可用於協商的共用密碼。

    為了確保TLSv1.0的示例密碼字串有效,需要修改它以刪除在替換的密碼字串中看到的!SSLv3:!TLSv1:

    HIGH:MEDIUM:@STRENGTH:!aNULL:!eNULL:!LOW:!DES:!MD5:!EXP:!PSK:!DSS:!RC2:!RC4:!SEED:!ECDSA:!ADH:!IDEA:!3DES:!SSLv2:-aNULL:-EXPORT:-IDEA

    :您可以使用VERIFY命令驗證ESA/CES CLI上SSL握手共用的密碼套件。

    可能記錄在mail_logs/郵件跟蹤中的錯誤,但不限於:

    Sun Feb 23 10:07:07 2020 Info: DCID 1407038 TLS failed: (336032784, 'error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure')
    Sun Feb 23 10:38:56 2020 Info: DCID 1407763 TLS failed: (336032002, 'error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol')

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    09-Aug-2024
    已更新標題,以符合出版標準。已修復損壞的連結,並確保所有連結在新頁籤中打開。
    1.0
    25-Feb-2020
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Mathew Huynh
      Cisco TAC Engineer
    • Alan Macorra
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您