Search

Visitors Counter

TodayToday14
YesterdayYesterday69
This_WeekThis_Week152
This_MonthThis_Month1750
All_DaysAll_Days140718
Your_IP 3.239.51.78

Serwis https://www.startssl.com/ ofertuje darmowe certyfikaty klasy 1. Umożliwiają one:

- Web server certificates (SSL/TLS)

- Client and mail certificates (S/MIME)

- 128/256-bit encryption

- US $ 10,000 insurance guaranteed

- Valid 1 year (365 days)

Aby zainstalować taki certyfikat w zimbrze, najlepiej jest zrobić to tradycyjnie - poprzez linię poleceń. Zimbra oferuje również rozwiązanie graficzne, ale nie zawsze działa ono zgodnie z oczekiwaniami.

Sprawę generowania certyfikatów w tym poście pomijam i zakładam, że posiadamy już niezbędne pliki.

1. Kopiujemy nasz certyfikat do katalogu /tmp/ssl.crt. Z pozycji systemu Windows, możemy to zrobić (na przykład) poprzez program WinSPC.

cp ./ssl.crt /tmp/ssl.crt

2. Kopiujemy nasz klucz prywatny do katalogu /opt/zimbra/ssl/zimbra/commercial/commercial.key. Aby wykonać tą czynność będą potrzebna prawa administratora. Zanim jednak zrobimy ten krok upewnijmy się, że klucz jest rozkodowany. Można to drobić poleceniem  openssl rsa -in ./ssl.key -out ./commercial.key

cp ./commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.key

3. Kiedyś ściągaliśmy klucz prywatny i plik żądania certyfikatu od instytucji uwierzytelniającej poprzez polecenia 

wget https://www.startssl.com/certs/ca.pem -O /tmp/startssl-ca.pem

wget https://www.startssl.com/certs/sub.class1.server.ca.pem -O /tmp/startssl-sub.class1.server.ca.pem

Teraz już tego nie robimy w ten sposób ponieważ przy próbie wgrania takiego certyfikatu otrzymamy błąd "unable to get local issuer certificate".

Najlepiej jest pobrać te elementy razem z certyfikatem lub bezpośrednio ze strony https://www.startssl.com/root (zakładka Root CA Certificates /Root 1 - StartCom Certification Authority oraz Intermediate CA Certificates / SSL Certificates)

4. Następnie łączymy te pliki ze sobą 

cat /tmp/root.crt /tmp/1_Intermediate.crt > /tmp/ca_bundle.crt

5. Wdrażamy nasz certyfikat jako root user.

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/ssl.crt /tmp/ca_bundle.crt

6. Dodajemy certyfikat do zaufanych certyfikatów jako root user

/opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial.crt

7. Restartujemy zimbrę jako user zimbra

 

zmcontrol stop; zmcontrol start