+393713742262
Zimbra – Installazione/Rinnovo di un Certificato SSL
By Assistenza Informatica Firenze/Agosto 4, 2016/Comments are closed
Per installare un certificato su Zimbra è possibile utilizzare l’interfaccia di amministrazione, come specificato in molte guide, ma in molti casi non è possibile completare l’installazione perchè si potrebbero ricevere errori di funzionamento, ad esempio:
Il certificato non è stato installato a causa di un errore : system failure: exception executing command: zmcertmgr verifycrtkey comm /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current_comm.key /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current.crt with {RemoteManager: zimbra.****.it->zimbra@zimbra.***.it:22}
In questa rapida guida vediamo come installare (anche in caso di rinnovo) un certificato su zimbra a riga di comando. Innanzi tutto è necessario preparare il materiale: dobbiamo disporre di 4 files:
- Certificato di Root (.crt)
- Certificato Intermedio (.crt)
- Private.key (.key)
- Certificato “ufficiale” (.crt)
Scritti “così” sembrano un “pasticcio” ma vi posso grantire che i file necessari sono 4. Tutti i files, tranne il private.key devono essere nel formato .CRT pertanto se disponiamo solo di file .CER dobbiamo provvedere alla conversione.
Per la conversione è disponibile un tools sotto linux….ma se preferiamo fare tutto con componenti “Online” ho identificato due siti web “potenzialmente utili”. Considerando che il file .CER può essere di tipo : pem, der, p7b, and pfx …. dobbiamo prima capire in quale di questi formati è fatto.
Questo sito web : https://www.sslchecker.com/ssl_converter (che per me non è “riuscito” a fare la conversione, forse per un problema temporaneo) è molto utile per “identificare il tipo” del file .CER.
Quando conosciamo il tipo (es. “Der”) possiamo convertire con qualsiasi altro convertitore, ad esempio: https://www.sslshopper.com/ssl-converter.html
Ovviamente la nostra conversione “mira” a convertire verso “Standard PEM” e quindi in formato .CRT
Il formato .CRT è facilmente “modificabile” anche da editor.
Una volta convertito il file possiamo aprirlo con un editor e vederlo nel formato (esempio):
—–BEGIN RSA PRIVATE KEY—–
MIIEowIBAAKCAQEAz0X……
Quando avremo tutti i file convertiti a .CRT possiamo procedere con l’installazione su Zimbra.
La cartella in cui bisogna lavorare (come root) è : /opt/zimbra/ssl/zimbra/commercial/
Dobbiamo creare (o sostituire) il file : commercial.crt e il suo contenuto deve essere quello del “Certificato ufficiale” (si può fare copia-incolla su VI)
Dobbiamo creare (o sostituire) il file : commercial.key e il suo contenuto deve essere quello del “Private Key” (si può fare copia-incolla su VI)
Successivamente bisogna creare, sempre nella stessa cartella, un file : commercial_ca.crt
All’interno di questo singolo file dobbiamo copia-incollare 2 file : Certificato Intermedio e successivamente il Certificato di Root. Per fare un esempio:
—–BEGIN CERTIFICATE—–
CA intermedia secondaria
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
CA principale
—–END CERTIFICATE—–
A questo punto possiamo avviare il comando:
opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt
che effettuerà una verifica di correttezza di entrambi i files. Se abbiamo sbagliato qualcosa, ad esempio non abbiamo copiato anche il commercial.key, riceveremo un errore simile a:
** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
unable to load certificate
140304101840544:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
XXXXX ERROR: Unmatching certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) pair.
XXXXX ERROR: provided cert isn’t valid.
se invece abbiamo ricevuto “OK” possiamo procedere all’installazione del certificato con il comando:
/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt
(ovviamente il comando deve essere avviato dalla cartella : /opt/zimbra/ssl/zimbra/commercial/)
Il sistema effettuerà alcuni aggiornamenti, ecco un esempio del rapporto riportato di seguito:
** Copying commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
cp: `commercial.crt’ and `/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ are the same file
** Appending ca chain commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
cp: `commercial_ca.crt’ and `/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ are the same file
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca…done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate…done.
** Saving server config key zimbraSSLPrivateKey…done.
** Installing mta certificate and key…done.
** Installing slapd certificate and key…done.
** Installing proxy certificate and key…done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12…done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore…done.
** Installing CA to /opt/zimbra/conf/ca…done.
A questo punto sarà sufficiente riavviare zimbra.
Accedere con l’utente dedicato di zimbra : su – zimbra
Riavviare il sistema con : zmcontrol restart
Attenzione : questo comando riavvia tutti i servizi (Antvirus, Mailbox, ecc.) e potrebbe impiegare alcuni minuti.
E’ possibile verificare il certificato installato con :
https://www.ssl2buy.com/wiki/ssl-installation-checker/
Siti web che mi sono stati “utili”:
- https://www.andreabonacina.it/2015/04/installazione-certificato-ssl-su-zimbra/
Installazione certificato Zimbra, certificato Zimbra, rinnovo certificato Zimbra, come installare un certificato su Zimbra, certificato SSL Zimbra, installare file CRT Zimbra, SSL Zimbra, modifica certificato Zimbra
