Tof://

20h.com

Installer un certificat SSL Gandi sur Zimbra

| Un commentaire

Gandi propose des certificats SSL pas cher, mais n’est pas autorité de certification root. Pour installer un certificat il faut donc chaîner les certificats root de l’autorité de certification et le certificat Intermédiaire de Gandi.

Créer une demande de certificat
cd /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp
openssl req -nodes -newkey rsa:2048 -keyout zm.domaine.com.key -out zm.domaine.com.csr

Installer ca-certificates pour manager les certificats
apt-get install ca-certificates

Créer un bundle avec le certificat racine de l’autorité de certification et le certificat inetrmédiaire de Gandi
cat UTN-USERFirst-Hardware.crt GandiStandardSSLCA.pem > GandiBundle.pem

Aller sauvegarder puis supprimer les anciens certificats

cd /opt/zimbra/ssl/zimbra/commercial/
tar -czvf /tmp/ssl.commercial.tar.gz *
rm  *

Copier la demande de certificat le CSR
cp /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/zm.domaine.com.csr commercial.csr

Copier la clef privée du certificat
cp /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/zm.domaine.com.key commercial.key

Copier et renommer le Bundle des certificats CA
cp /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/GandiBundle.pem commercial_ca.crt

Vérifier que le certificat Gandi correspond bien à la clef privée
/opt/zimbra/bin/zmcertmgr verifycrt comm commercial.key /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/new-cert-domaine.com.crt

Vérifier que le bundle des CA racine est bien valide
/opt/zimbra/bin/zmcertmgr verifycrtchain commercial_ca.crt /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/new-cert-domaine.com.crt

Installer et déployer le nouveau certificat
/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/new-cert-domaine.com.crt commercial_ca.crt

Relancer Zimbra
su – zimbra
zmcontrol restart

Normalement c’est tout, votre Zimbra doit maintenant avoir son nouveau certificat

Doc sur le wiki de Zimbra >

Auteur : @ctof

Internet, cloud, techno & music addict... Entrepreneur, Consultant, ex CTO Jiwa...

Un Commentaire

  1. Il arrive qu’après avoir fait cette manip’ (après une migration d’OS, après avoir installé un autre serveur ZCS dans l’infra), on se retrouve avec l’affreuse erreur « Unable to determine enabled services from LDAP » (sur le « nouveau » serveur bien sûr).

    Si ça arrive, il suffit de lancer en root :
    /opt/zimbra/bin/zmcertmgr addcacert /opt/zimbra/ssl/zimbra/commercial/commercial.crt

Laisser un commentaire

Champs Requis *.