Xin chào các bạn, hôm nay mình sẽ hướng dẫn các bạn cách cài đặt Rapid SSL cho mail server Zimbra qua cửa sổ dòng lệnh.
Rapid SSL có lẽ là một trong những chứng chỉ bảo mật ngon bổ rẻ nhất so với các hãng khác. Bạn có thể sở hữu hẳn wildcard chỉ với giá vài triệu/năm.
Phần tạo key+csr mình không nói nữa, sau khi gửi csr để đăng kí chúng các bạn sẽ nhận được các file qua email từ nhà cung cấp SSL.
Lúc này bạn sẽ nhận được 2 tập tin:
ServerCertificate.cer
CACertificate-INTERMEDIATE-1.cer
Chúng ta sẽ sử dụng nó để cài đặt lên server. Ngoài ra ta cần thêm 1 file GeoTrust_Global_CA.pem nữa. Bạn có thể tải nó tại đây: Tải về
Trong thư mục /opt/zimbra/ssl/zimbra/commercial/ các bạn sẽ tạo 3 file sau:
commercial.crt
intermedia.crt
capem.crt
Nội dung file commercial.crt là nội dung của file ServerCertificate.cer
Nội dung file intermedia.crt là nội dung file CACertificate-INTERMEDIATE-1.cer
Nội dung file capem.crt là nội dung file GeoTrust_Global_CA.pem
Tiếp theo ta tiến hành tạo file commercial_ca.crt từ hai file intermedia.crt và capem.crt :
#cat intermedia.crt capem.crt > commercial_ca.crt
Sau khi tạo xong commercial_ca.crt . Tiến hành kiểm tra key có khớp với ca không:
#/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key commercial.crt ./commercial_ca.crt
kết quả như sau là ok:
** Verifying ‘commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘commercial.crt’ against ‘./commercial_ca.crt’
Valid certificate chain: commercial.crt: OK
Bước cuối cùng là update SSL:
#/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt ./commercial_ca.crt
kết quả:
** Verifying ‘commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘commercial.crt’ against ‘./commercial_ca.crt’
Valid certificate chain: commercial.crt: OK
** Copying ‘commercial.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
‘commercial.crt’ and ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ are identical (not copied) at /opt/zimbra/bin/zmcertmgr line 1264.
** Copying ‘./commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’
‘./commercial_ca.crt’ and ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ are identical (not copied) at /opt/zimbra/bin/zmcertmgr line 1264.
** Appending ca chain ‘./commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
** Importing cert ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ as ‘zcs-user-commercial_ca’ into cacerts ‘/opt/zimbra/common/lib/jvm/java/jre/lib/security/cacerts’
** NOTE: restart mailboxd to use the imported certificate.
** Saving config key ‘zimbraSSLCertificate’ via zmprov modifyServer mail.liemphan.net…ok
** Saving config key ‘zimbraSSLPrivateKey’ via zmprov modifyServer mail.liemphan.net…ok
** Installing ldap certificate ‘/opt/zimbra/conf/slapd.crt’ and key ‘/opt/zimbra/conf/slapd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/slapd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/slapd.key’
** Creating file ‘/opt/zimbra/ssl/zimbra/jetty.pkcs12’
** Creating keystore ‘/opt/zimbra/mailboxd/etc/keystore’
** Installing mta certificate ‘/opt/zimbra/conf/smtpd.crt’ and key ‘/opt/zimbra/conf/smtpd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/smtpd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/smtpd.key’
** Installing proxy certificate ‘/opt/zimbra/conf/nginx.crt’ and key ‘/opt/zimbra/conf/nginx.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/nginx.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/nginx.key’
** NOTE: restart services to use the new certificates.
** Cleaning up 9 files from ‘/opt/zimbra/conf/ca’
** Removing /opt/zimbra/conf/ca/ca.key
** Removing /opt/zimbra/conf/ca/ca.pem
** Removing /opt/zimbra/conf/ca/e279b675.0
** Removing /opt/zimbra/conf/ca/commercial_ca_1.crt
** Removing /opt/zimbra/conf/ca/2c543cd1.0
** Removing /opt/zimbra/conf/ca/commercial_ca_2.crt
** Removing /opt/zimbra/conf/ca/80ecc636.0
** Removing /opt/zimbra/conf/ca/commercial_ca_3.crt
** Removing /opt/zimbra/conf/ca/2c543cd1.1
** Copying CA to /opt/zimbra/conf/ca
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.key’ to ‘/opt/zimbra/conf/ca/ca.key’
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.pem’ to ‘/opt/zimbra/conf/ca/ca.pem’
** Creating CA hash symlink ‘e279b675.0’ -> ‘ca.pem’
** Creating /opt/zimbra/conf/ca/commercial_ca_1.crt
** Creating CA hash symlink ’80ecc636.0′ -> ‘commercial_ca_1.crt’
** Creating /opt/zimbra/conf/ca/commercial_ca_2.crt
** Creating CA hash symlink ‘2c543cd1.0’ -> ‘commercial_ca_2.crt’
Khởi động lại dịch vụ:
#zmcontrol restart
Như vậy là xong, quá trình cài đặt SSL đã hoàn tất, chúc các bạn thành công!
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình 🙂 Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!