Olá ! Implementar certificados comerciais é uma operação muito comum para quem administra o Zimbra, porém muitos administradores têm dificuldades com esta operação. Neste artigo irei procurar esclarecer o procedimento para instalação do certificado comercial, utilizando uma experiência com certificados da StartSSL (https://www.startssl.com) como exemplo.
Nesta implementação, não foi necessário gerar a requisição de assinatura do certificado foi o mesmo foi entregue com Wildcard, isto é, o caractere coringa permitindo todos os hostnames do domínio utilizado (*.dominio.com.br).
Para os certificados da StartSSL, é necessário efetuar o Download da CA raiz e da classe do seu servidor no link https://www.startssl.com/certs. Nesta implementação o certificado é CLASS2:
Portanto, efetuamos o download dos arquivos:
https://www.startssl.com/certs/ca.pem
https://www.startssl.com/certs/sub.class2.server.ca.pem
Agora, precisamos concatenar os dois arquivos em único:
# cat ca.pem sub.class2.server.ca.pem > ca_StartSSL_full.pem
A entidade certificadora também deve enviar o certificado e a chave protegida com uma palavra chave, para gerar a chave sem a palavra chave, execute:
# openssl rsa -in chave_com_senha.key -out chave_sem_senha.key
Agora, ainda como usuário root, é necessário verificar a validade do certificado com o comando abaixo:
# /opt/zimbra/bin/zmcertmgr verifycrt comm chave_sem_senha.key certificado.crt ca_StartSSL_full.pem
Você deve inserir nesta seguinte ordem: chave – certificado – CA
Ele deve informar que o certificado e chave são compatíveis e que o certificado é válido. Desta forma, a entidade certificadora está reconhecida.
Copie a chave para o diretório /opt/zimbra/ssl/zimbra/commercial com o nome commercial.key
Aplique o certificado no Zimbra:
# /opt/zimbra/bin/zmcertmgr deploycrt comm certificado.crt ca_StartSSL_full.pem
Você deve inserir nesta seguinte ordem: certificado – CA
Exemplo da instalação bem sucedida:
Insira o certificado na área de armazenamento de chaves do Zimbra:
keytool -import -alias new -keystore /opt/zimbra/common/lib/jvm/openjdk-1.8.0_92-zimbra/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial.crt
Você deve informar que confia neste certificado.
Para concluir, reinicie o Zimbra e confirme se o certificado comercial está sendo apresentado na console do Zimbra.