Zimbra 8.7 e 8.8: Implementando certificado assinado com Let’s Encrypt

Olá ! Nesse artigo eu gostaria de compartilhar com vocês as orientações para implementar um certificado válido e gratuito da Let’s Encrypt no Zimbra 8.7 e 8.8.

(Essa implementação é idêntica para a versões Open Source, Suite Plus e Network)

Tenho observado que mesmo com a divulgação dos certificados gratuitos da Let’s Encrypt e a diminuição do custo de certificados assinados no Brasil em geral, muitos administradores Zimbra ainda não implementaram um certificado válido no seu ambiente.

Neste outro artigo explico um pouco mais sobre a importância da utilização de um certificado assinado, além da atualização para a versão 8.7:

https://respirandolinux.com.br/2016/08/27/zimbra-porque-atualizar-para-a-versao-8-7-openssl-padding-oracle-instalei-um-certificado-valido-estou-seguro/

Continuar lendo “Zimbra 8.7 e 8.8: Implementando certificado assinado com Let’s Encrypt”

Zimbra: Instalando certificado comercial (StarSSL)

Olá ! Implementar certificados comerciais é uma operação muito comum para quem administra o Zimbra, porém muitos administradores têm dificuldades com esta operação. Neste artigo irei procurar esclarecer o procedimento para instalação do certificado comercial, utilizando uma experiência com certificados da StartSSL (https://www.startssl.com) como exemplo.

Nesta implementação, não foi necessário gerar a requisição de assinatura do certificado foi o mesmo foi entregue com Wildcard, isto é, o caractere coringa permitindo todos os hostnames do domínio utilizado (*.dominio.com.br).

Para os certificados da StartSSL, é necessário efetuar o Download da CA raiz e da classe do seu servidor no link https://www.startssl.com/certs. Nesta implementação o certificado é CLASS2:

StartSSL certificates

Portanto, efetuamos o download dos arquivos:

 https://www.startssl.com/certs/ca.pem 

 https://www.startssl.com/certs/sub.class2.server.ca.pem

Agora, precisamos concatenar os dois arquivos em único:

# cat ca.pem  sub.class2.server.ca.pem > ca_StartSSL_full.pem

A entidade certificadora também deve enviar o certificado e a chave protegida com uma palavra chave,  para gerar a chave sem a palavra chave, execute:

# openssl rsa -in chave_com_senha.key -out chave_sem_senha.key

Agora, ainda como usuário root, é necessário verificar a validade do certificado com o comando abaixo:

# /opt/zimbra/bin/zmcertmgr verifycrt comm chave_sem_senha.key certificado.crt ca_StartSSL_full.pem

Você deve inserir nesta seguinte ordem: chave – certificado – CA

Ele deve informar que o certificado e chave são compatíveis e que o certificado é válido. Desta forma, a entidade certificadora está reconhecida.

Copie a chave para o diretório /opt/zimbra/ssl/zimbra/commercial com o nome commercial.key

Aplique o certificado no Zimbra:

# /opt/zimbra/bin/zmcertmgr deploycrt comm certificado.crt ca_StartSSL_full.pem

Você deve inserir nesta seguinte ordem: certificado – CA

Exemplo da instalação bem sucedida:

zimbra_comm_cert_deploy

Insira o certificado na área de armazenamento de chaves do Zimbra:

keytool -import -alias new -keystore /opt/zimbra/common/lib/jvm/openjdk-1.8.0_92-zimbra/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial.crt

Você deve informar que confia neste certificado.

Para concluir,  reinicie o Zimbra e confirme se o certificado comercial está sendo apresentado na console do Zimbra.

Referências:
https://www.startssl.com/?app=0
http://www.anta.net/misc/telnet-troubleshooting/imap.shtml
http://mnx.io/blog/removing-a-passphrase-from-an-ssl-key/
http://wiki.zimbra.com/wiki/Installing_a_StartSSL_SSL_Certificate_with_zmcertmgr