Перейти к основному содержанию

ESA — обновление сертификата

Cisco ESA C190

Обновляем сертификат на Cisco Email Security Appliance. Или по-новому на Cisco Secure Email Gateway. Работаю с Cisco ESA C190.

У мена на ESA подходит к концу срок действия сертификата, осталось 4 дня. Посмотреть список сертификатов можно в Network → Certificates.

esa

Новый сертификат мы приобрели и сконвертировали в формат PFX (PKCS#12). Ссылки в помощь:

Windows — конвертация SSL сертификата PEM в формат PFX (PKCS#12) с помощью подсистемы Linux

Windows — генерация PFX (PKCS#12) сертификата с помощью подсистемы Linux

Прежде чем импортировать сертификат, неплохо бы подстраховаться и экспортировать себе текущий сертификат кнопкой Export Certificate.

Обновление сертификата на Cisco ESA

Обновляется сертификат просто. Нажимаем Add Certificate.

esa

Выбираем Import Certificate. Выбираем файл PFX. Пишем пароль, который указывали при генерации PFX. Next.

esa

Сертификат загружается, распознаётся цепочка сертификатов. Submit.

esa

Такой сертификат уже существует. Заменить? Overwrite.

esa

Сертификат обновлён, применяем изменения: Commit Changes.

Службы, которые используют сертификат

Если вы не обновляете сертификат, а добавляете новый, то неплохо бы заменить используемый сертификат в службах.

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118844-technote-esa-00.html#anc11

Службы, использующие сертификаты:

  • Inbound TLS
  • Outbound TLS
  • HTTPS
  • LDAPs
  • URL Filtering

Inbound TLS

Network → Listeners.

esa

Выбираем Listener.

esa

Выбираем сертификат. Submit.

Повторяем шаги для остальных Listener.

Outbound TLS

Mail Policies → Destination Controls. Edit Global Settings. Выбираем сертификат из выпадающего списка. Submit.

esa

HTTPS

Network → IP Interfaces. Выбираем интерфейс. Если используется HTTPS, то становится доступен выбор сертификата в выпадающем списке HTTPS Certificate. Submit.

Повторяем шаги для остальных интерфейсов.

esa

LDAPs

Administration → LDAP. Edit Settings. Выбираем сертификат из выпадающего списка. Submit.

esa

URL Filtering

Это уже через CLI. Если, конечно, хотим там использовать сертификат.

websecurityconfig

Отвечаем на вопросы, отвечаем Y на вопрос:

Do you want to set client certificate for Cisco Web Security Services Authentication?

Выбираем номер сертификата.

Не забываем про команду:

commit

P.S.

Сэкономим вам нервы и время. Старый сертификат кэшируется. По крайней мере в Inbound TLS.

Придётся перезагрузить ESA.

P.P.S.

Если сертификат не импортируется с ошибкой:

certificates signature verification failed

Это означит, что в цепочке сертификатов корневой или промежуточный отсутствуют в списке доверенных корневых сертификатов. На той же странице нужно включить Certificate Authorities → Custom List: Enabled. Отредактировать настройки и загрузить свои доверенные корневые сертификаты. И коммит.

P.P.P.S.

Если сертификат не импортируется с ошибкой:

Validation Error : Certificate has problem with basic constraints extension & CA flag

Это означит, что в цепочке сертификатов есть лишний сертификат. Иногда можно сгенерировать цепочку уже вместе с самим сертификатом — так не нужно делать. В цепочке должны быть только корневые и промежуточные сертификаты.

Теги

 

Похожие материалы

Cisco ESA C190 — LDAP Authentication

Настраиваем доменную аутентификацию на Cisco ESA C190 — Email Security Appliance. Гораздо проще управлять правами пользователей из домена. Сделаем вход в веб интерфейс ESA по доменному логину и паролю.