em Segurança, Zimbra 416 palavras

Zimbra: Instalando certificado comercial (StarSSL)

Olá ! Implementar certificados comerciais é uma operação muito comum para quem administra o Zimbra, porém muitos administradores têm dificuldades com esta operação. Neste artigo irei procurar esclarecer o procedimento para instalação do certificado comercial, utilizando uma experiência com certificados da StartSSL (https://www.startssl.com) como exemplo.

Nesta implementação, não foi necessário gerar a requisição de assinatura do certificado foi o mesmo foi entregue com Wildcard, isto é, o caractere coringa permitindo todos os hostnames do domínio utilizado (*.dominio.com.br).

Para os certificados da StartSSL, é necessário efetuar o Download da CA raiz e da classe do seu servidor no link https://www.startssl.com/certs. Nesta implementação o certificado é CLASS2:

StartSSL certificates

Portanto, efetuamos o download dos arquivos:

 https://www.startssl.com/certs/ca.pem 

 https://www.startssl.com/certs/sub.class2.server.ca.pem

Agora, precisamos concatenar os dois arquivos em único:

# cat ca.pem  sub.class2.server.ca.pem > ca_StartSSL_full.pem

A entidade certificadora também deve enviar o certificado e a chave protegida com uma palavra chave,  para gerar a chave sem a palavra chave, execute:

# openssl rsa -in chave_com_senha.key -out chave_sem_senha.key

Agora, ainda como usuário root, é necessário verificar a validade do certificado com o comando abaixo:

# /opt/zimbra/bin/zmcertmgr verifycrt comm chave_sem_senha.key certificado.crt ca_StartSSL_full.pem

Você deve inserir nesta seguinte ordem: chave – certificado – CA

Ele deve informar que o certificado e chave são compatíveis e que o certificado é válido. Desta forma, a entidade certificadora está reconhecida.

Copie a chave para o diretório /opt/zimbra/ssl/zimbra/commercial com o nome commercial.key

Aplique o certificado no Zimbra:

# /opt/zimbra/bin/zmcertmgr deploycrt comm certificado.crt ca_StartSSL_full.pem

Você deve inserir nesta seguinte ordem: certificado – CA

Exemplo da instalação bem sucedida:

zimbra_comm_cert_deploy

Insira o certificado na área de armazenamento de chaves do Zimbra:

keytool -import -alias new -keystore /opt/zimbra/common/lib/jvm/openjdk-1.8.0_92-zimbra/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial.crt

Você deve informar que confia neste certificado.

Para concluir,  reinicie o Zimbra e confirme se o certificado comercial está sendo apresentado na console do Zimbra.

Referências:
https://www.startssl.com/?app=0
http://www.anta.net/misc/telnet-troubleshooting/imap.shtml
http://mnx.io/blog/removing-a-passphrase-from-an-ssl-key/
http://wiki.zimbra.com/wiki/Installing_a_StartSSL_SSL_Certificate_with_zmcertmgr

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s