Benutzerspezifische Werkzeuge

Sektionen
Howto: Zimbra 6.0 mit eigenem SSL Wildcard Zertifikat

Direkt zum Inhalt | Direkt zur Navigation

Howto: Zimbra 6.0 mit eigenem SSL Wildcard Zertifikat

23.12.2011 in TechTalk
Zimbra bietet über die Webkonsole eine einfache Möglichkeit von einer anerkannten Zertifizierungsstelle unterschriebene Zertifkate einzubauen. Dies klappt aber nur, solange die Zertifikatsanfragen (CSR) direkt im Webinterface erstellt wurden. Das liegt wiederum daran, da es über die Webkonsole nicht möglich ist, bestehende SSL-Schlüssel zu importieren. Wer dafür eine Lösung braucht, muss auf die Kommandozeile ausweichen.

Howto: Zimbra 6.0 mit eigenem SSL Wildcard Zertifikat

© flickr/spodzone

Im Internet finden sich einige Anleitungen, welche Schritte dafür notwendig sind. Manche beziehen sich jedoch auf alte Zimbra-Versionen oder sind in sich widersprüchlich. Deshalb möchten wir hier unser Vorgehen dokumentieren.

Unser Wildcard-Zertifikat kommt von Godaddy. Diese benötigen ein sogenanntes Intermediate certificate. Nach dem Entpacken der ZIP-Datei von Godaddy erhält man zwei Dateien: gd_bundle.crt und webmeisterei.com.crt.

Am einfachsten kopiert man diese zwei Dateien und den Key per SCP auf den Server.

scp webmeisterei.com.crt root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial.crt
scp gd_bundle.crt root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
scp webmeisterei.com.key root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial.key

Anschließend verifizieren wir sicherheitshalber noch die Dateien

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Die Ausgabe sollte etwa so aussehen

** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key Certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: commercial.crt: OK

Nun werden die Zertifikate mit folgenen Befehl eingebaut

/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Ausgabe:

** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: commercial.crt: OK
** Copying commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.

Es muss noch das Intermediate Zertifikat in Zimbra eingebaut werden. Achtung: das Passwort in der Zeile ist wirklich "changeit"!

/opt/zimbra/java/bin/keytool -import -alias root -keystore \
/opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/conf/ca/commercial_ca.pem

Wird das Zertifikat aktualisiert, wird Zimbra eine kurze Bestätigung einfordern

Certificate already exists in keystore under alias <zcs-user-commercial_ca>
Do you still want to add it? [no]: yes
Certificate was added to keystore

Und zuletzt ein Zimbra-Restart

/etc/init.d/zimbra restart

Kommentare unterstützt durch Disqus

Webmeisterei GmbH, Bildgasse 10d, 6850 Dornbirn, AT, Telefon +43 5572 908000, Fax +43 5572 908000-15, office@webmeisterei.com