Nếu bạn không mua SSL nhiều năm thì mỗi lần gia hạn SSL bạn phải update lại các thông tin SSL cho máy chủ. Do vậy hôm nay tôi sẽ hướng dẫn các bạn cách update SSL cho máy chủ Zimbra.
Trước tiên các bạn cần tải file DigiCert_Global_Root_CA.pem tại đây:
Link: digicert.com
Hoặc tại đây: Tải về
Trong thư mục /opt/zimbra/ssl/zimbra/commercial/ ta tạo thêm thư mục 2018 nữa
Trong thư mục /opt/zimbra/ssl/zimbra/commercial/ ta sẽ copy file commercial.key vào đó.
Trong thư mục /opt/zimbra/ssl/zimbra/commercial/2018 ta sẽ copy các file nhận được từ nhà cung cấp SSL lên bao gồm:
- CACertificate-INTERMEDIATE-1.cer
- ServerCertificate.cer
Ta sẽ tạo 3 file như sau:
- commercial.crt là nội dung của file ServerCertificate.cer
- intermedia.crt là nội dung file CACertificate-INTERMEDIATE-1.cer
- capem.crt là nội dung của DigiCert_Global_Root_CA.pem
Tiếp theo ta tiến hành tạo file commercial_ca.crt từ hai file intermedia.crt và capem.crt :
#cat intermedia.crt capem.crt > commercial_ca.crt
Sau khi tạo xong commercial_ca.crt . Tiến hành kiểm tra key có khớp với ca không:
#/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key commercial.crt ./commercial_ca.crt
kết quả như sau là ok:
** Verifying ‘commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘commercial.crt’ against ‘./commercial_ca.crt’
Valid certificate chain: commercial.crt: OK
Bước cuối cùng là update SSL:
#/opt/zimbra/bin/zmcertmgr deploycrt comm 2018/commercial.crt ./2018/commercial_ca.crt
kết quả:
** Verifying ‘2018/commercial.crt’ against ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’
Certificate ‘2018/commercial.crt’ and private key ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ match.
** Verifying ‘2018/commercial.crt’ against ‘./2018/commercial_ca.crt’
Valid certificate chain: 2018/commercial.crt: OK
** Copying ‘2018/commercial.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
** Copying ‘./2018/commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’
** Appending ca chain ‘./2018/commercial_ca.crt’ to ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’
** Importing cert ‘/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ as ‘zcs-user-commercial_ca’ into cacerts ‘/opt/zimbra/common/lib/jvm/java/jre/lib/security/cacerts’
** NOTE: restart mailboxd to use the imported certificate.
** Saving config key ‘zimbraSSLCertificate’ via zmprov modifyServer mail.sonla.gov.vn…ok
** Saving config key ‘zimbraSSLPrivateKey’ via zmprov modifyServer mail.sonla.gov.vn…ok
** Installing ldap certificate ‘/opt/zimbra/conf/slapd.crt’ and key ‘/opt/zimbra/conf/slapd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/slapd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/slapd.key’
** Creating file ‘/opt/zimbra/ssl/zimbra/jetty.pkcs12’
** Creating keystore ‘/opt/zimbra/mailboxd/etc/keystore’
** Installing mta certificate ‘/opt/zimbra/conf/smtpd.crt’ and key ‘/opt/zimbra/conf/smtpd.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/smtpd.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/smtpd.key’
** Installing proxy certificate ‘/opt/zimbra/conf/nginx.crt’ and key ‘/opt/zimbra/conf/nginx.key’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ to ‘/opt/zimbra/conf/nginx.crt’
** Copying ‘/opt/zimbra/ssl/zimbra/commercial/commercial.key’ to ‘/opt/zimbra/conf/nginx.key’
** NOTE: restart services to use the new certificates.
** Cleaning up 7 files from ‘/opt/zimbra/conf/ca’
** Removing /opt/zimbra/conf/ca/ca.key
** Removing /opt/zimbra/conf/ca/ca.pem
** Removing /opt/zimbra/conf/ca/e279b675.0
** Removing /opt/zimbra/conf/ca/commercial_ca_1.crt
** Removing /opt/zimbra/conf/ca/80ecc636.0
** Removing /opt/zimbra/conf/ca/commercial_ca_2.crt
** Removing /opt/zimbra/conf/ca/2c543cd1.0
** Copying CA to /opt/zimbra/conf/ca
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.key’ to ‘/opt/zimbra/conf/ca/ca.key’
** Copying ‘/opt/zimbra/ssl/zimbra/ca/ca.pem’ to ‘/opt/zimbra/conf/ca/ca.pem’
** Creating CA hash symlink ‘e279b675.0’ -> ‘ca.pem’
** Creating /opt/zimbra/conf/ca/commercial_ca_1.crt
** Creating CA hash symlink ‘e0708dc5.0’ -> ‘commercial_ca_1.crt’
** Creating /opt/zimbra/conf/ca/commercial_ca_2.crt
** Creating CA hash symlink ‘3513523f.0’ -> ‘commercial_ca_2.crt’
Khởi động lại dịch vụ:
#zmcontrol restart
Như vậy là xong, quá trình update SSL đã hoàn tất, chúc các bạn thành công!
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình 🙂 Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!