Hướng dẫn update Rapid SSL cho mail server Zimbra

Nếu bạn không mua SSL nhiều năm thì mỗi lần gia hạn SSL bạn phải update lại các thông tin SSL cho máy chủ. Do vậy hôm nay tôi sẽ hướng dẫn các bạn cách update SSL cho máy chủ Zimbra.

Trước tiên các bạn cần tải file DigiCert_Global_Root_CA.pem tại đây:

Link: digicert.com
Hoặc tại đây: Tải về

Trong thư mục /opt/zimbra/ssl/zimbra/commercial/ ta tạo thêm thư mục 2018 nữa

Trong thư mục /opt/zimbra/ssl/zimbra/commercial/ ta sẽ copy file commercial.key vào đó.

Trong thư mục /opt/zimbra/ssl/zimbra/commercial/2018 ta sẽ copy các file nhận được từ nhà cung cấp SSL lên bao gồm:

  1. CACertificate-INTERMEDIATE-1.cer
  2. ServerCertificate.cer

Ta sẽ tạo 3 file như sau:

  • commercial.crt  là nội dung của file ServerCertificate.cer
  • intermedia.crt là nội dung file CACertificate-INTERMEDIATE-1.cer
  • capem.crt  là nội dung của DigiCert_Global_Root_CA.pem

Tiếp theo ta tiến hành tạo file commercial_ca.crt từ hai file intermedia.crt và capem.crt :

#cat intermedia.crt capem.crt > commercial_ca.crt

Sau khi tạo xong commercial_ca.crt . Tiến hành kiểm tra key có khớp với ca không:

#/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key commercial.crt ./commercial_ca.crt

kết quả như sau là ok:

** Verifying ‘commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘commercial.crt’ against ‘./commercial_ca.crt’
Valid certificate chain: commercial.crt: OK

Bước cuối cùng là  update SSL:

#/opt/zimbra/bin/zmcertmgr deploycrt comm 2018/commercial.crt ./2018/commercial_ca.crt

kết quả:

** Verifying ‘2018/commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘2018/commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘2018/commercial.crt’ against ‘./2018/commercial_ca.crt’
Valid certificate chain: 2018/commercial.crt: OK
** Copying ‘2018/commercial.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
** Copying ‘./2018/commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’
** Appending ca chain ‘./2018/commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
** Importing cert ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ as ‘zcs-user-commercial_ca’ into cacerts ‘/opt/zimbra/common/lib/jvm/java/jre/lib/security/cacerts’
** NOTE: restart mailboxd to use the imported certificate.
** Saving config key ‘zimbraSSLCertificate’ via zmprov modifyServer mail.sonla.gov.vn…ok
** Saving config key ‘zimbraSSLPrivateKey’ via zmprov modifyServer mail.sonla.gov.vn…ok
** Installing ldap certificate ‘/opt/zimbra/conf/slapd.crt’ and key ‘/opt/zimbra/conf/slapd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/slapd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/slapd.key’
** Creating file ‘/opt/zimbra/ssl/zimbra/jetty.pkcs12’
** Creating keystore ‘/opt/zimbra/mailboxd/etc/keystore’
** Installing mta certificate ‘/opt/zimbra/conf/smtpd.crt’ and key ‘/opt/zimbra/conf/smtpd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/smtpd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/smtpd.key’
** Installing proxy certificate ‘/opt/zimbra/conf/nginx.crt’ and key ‘/opt/zimbra/conf/nginx.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/nginx.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/nginx.key’
** NOTE: restart services to use the new certificates.
** Cleaning up 7 files from ‘/opt/zimbra/conf/ca’
** Removing /opt/zimbra/conf/ca/ca.key
** Removing /opt/zimbra/conf/ca/ca.pem
** Removing /opt/zimbra/conf/ca/e279b675.0
** Removing /opt/zimbra/conf/ca/commercial_ca_1.crt
** Removing /opt/zimbra/conf/ca/80ecc636.0
** Removing /opt/zimbra/conf/ca/commercial_ca_2.crt
** Removing /opt/zimbra/conf/ca/2c543cd1.0
** Copying CA to /opt/zimbra/conf/ca
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.key’ to ‘/opt/zimbra/conf/ca/ca.key’
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.pem’ to ‘/opt/zimbra/conf/ca/ca.pem’
** Creating CA hash symlink ‘e279b675.0’ -> ‘ca.pem’
** Creating /opt/zimbra/conf/ca/commercial_ca_1.crt
** Creating CA hash symlink ‘e0708dc5.0’ -> ‘commercial_ca_1.crt’
** Creating /opt/zimbra/conf/ca/commercial_ca_2.crt
** Creating CA hash symlink ‘3513523f.0’ -> ‘commercial_ca_2.crt’

Khởi động lại dịch vụ:

#zmcontrol restart

Như vậy là xong, quá trình update SSL đã hoàn tất, chúc các bạn thành công!

About Liêm Phan 130 Articles
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình :) Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!