Howto: Zimbra 6.0 mit eigenem SSL Wildcard Zertifikat
© flickr/spodzone
Im Internet finden sich einige Anleitungen, welche Schritte dafür notwendig sind. Manche beziehen sich jedoch auf alte Zimbra-Versionen oder sind in sich widersprüchlich. Deshalb möchten wir hier unser Vorgehen dokumentieren.
Unser Wildcard-Zertifikat kommt von Godaddy. Diese benötigen ein sogenanntes Intermediate certificate. Nach dem Entpacken der ZIP-Datei von Godaddy erhält man zwei Dateien: gd_bundle.crt und webmeisterei.com.crt.
Am einfachsten kopiert man diese zwei Dateien und den Key per SCP auf den Server.
scp webmeisterei.com.crt root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial.crt
scp gd_bundle.crt root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
scp webmeisterei.com.key root@zimbra.webmeisterei.com:/opt/zimbra/ssl/zimbra/commercial/commercial.key
Anschließend verifizieren wir sicherheitshalber noch die Dateien
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
Die Ausgabe sollte etwa so aussehen
** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key Certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: commercial.crt: OK
Nun werden die Zertifikate mit folgenen Befehl eingebaut
/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
Ausgabe:
** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: commercial.crt: OK
** Copying commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
Es muss noch das Intermediate Zertifikat in Zimbra eingebaut werden. Achtung: das Passwort in der Zeile ist wirklich "changeit"!
/opt/zimbra/java/bin/keytool -import -alias root -keystore \
/opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/conf/ca/commercial_ca.pem
Wird das Zertifikat aktualisiert, wird Zimbra eine kurze Bestätigung einfordern
Certificate already exists in keystore under alias <zcs-user-commercial_ca>
Do you still want to add it? [no]: yes
Certificate was added to keystore
Und zuletzt ein Zimbra-Restart
/etc/init.d/zimbra restart
- Näher dran bleiben?
-
