Zimbra

Để cài đặt chứng thư số SSL cho Zimbra, bạn thực hiện như sau:

1. Upload các file commercial.crt, commercial_ca.crt lên server và đặt trong thư mục /opt/zimbra/ssl/zimbra/commercial.

Lưu ý: Bạn nên backup thư mục /opt/zimbra/ssl/zimbra/commercial trước khi thực hiện đề phòng trục trặc có thể chuyển lại như cũ.

Như vậy lúc này trong thư mục /opt/zimbra/ssl/zimbra/commercial sẽ có các file sau đây: commercial.key, commercial.crt, commercial_ca.crt.

2. SSH vào server bằng quyền root và di chuyển vào thư mục /opt/zimbra/ssl/zimbra/commercial

3. Chuyển sang user zimbra:

su zimbra

4. Chạy lệnh sau để kiểm tra chứng thư số:

/opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt

Nếu kết quả trả về là "Certificate is OK" thì có thể chuyển sang bước tiếp theo. Nếu báo lỗi, bạn cần liên hệ với chúng tôi để được hỗ trợ.

Nếu lệnh trên báo lỗi không tìm thấy openssl, thì bạn chạy lệnh sau:

/opt/zimbra/bin/zmcertmgr verifycrt comm commercial.key commercial.crt commercial_ca.crt

5. Chạy lệnh sau để deploy chứng thư số:

/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt

Lưu ý: Nếu bạn gặp lỗi sau khi deploy chứng thư số (dù kiểm tra thì kết quả trả về OK):

XXXXX ERROR: failed to create jetty.pkcs12
No certificate matches private key

Bạn cần mở file commercial.crt và thêm vào 1 dòng trắng ở cuối file. Sau đó chạy lệnh kiểm tra lại, và deploy lại sẽ khắc phục được lỗi này.

Hoặc lỗi:

zmcertmgr: ERROR: no longer runs as root

Bạn cần su qua user zimbra trước chạy lệnh trên.

su zimbra

6. Restart lại Zimbra:

su - zimbra
zmcontrol stop
zmcontrol start

Lưu ý: Nếu bạn gặp lỗi sau khi restart Zimbra:

cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Bạn cần chạy lệnh sau:

/opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Sau đó bạn cần upload lại file commercial.crt lên thư mục /opt/zimbra/ssl/zimbra/commercial/ rồi chạy lại lệnh deploy chứng thư số và restart lại Zimbra.

7. Zimbra thường sử dụng các port sau đây khi chạy SSL/TLS: 465 (SMTPS), 993 (IMAPS), 995 (POP3S), 443 (HTTPS) do đó nếu máy chủ có cài đặt Firewall thì bạn cần phải mở các port trên để Zimbra có thể hoạt động.

Lưu ý: Sau khi cài đặt chứng thư số SSL, nếu bạn gặp lỗi ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY khi truy cập vào Webmail, khi đó bạn có thể tham khảo hướng dẫn tại đây: Khắc phục lỗi ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY cho máy chủ Zimbra

Sau khi cài đặt thành công, bạn có thể kiểm tra lại cert đã được install đúng hay chưa bằng công cụ sau: https://www.digicert.com/help/