Hướng dẫn cài đặt SSL cho Zimbra
Sau khi nhận được chứng chỉ số từ nhà cung cấp, bạn cần thực hiện theo các hướng dẫn sau đây để cài đặt chứng chỉ số vào Zimbra.
1. Tải bộ cert:
Trong file đính kèm mà bạn nhận được sẽ bao gồm các file sau: rootca.crt, cabundle.crt, certificate.crt. Bạn cần upload cả 3 file này lên server và đặt trong thư mục /opt/zimbra/ssl/zimbra/commercial.
2. Remote vào server:
SSH vào server bằng quyền root và di chuyển vào thư mục /opt/zimbra/ssl/zimbra/commercial
3. Tạo file commercial_crt:
Đổi tên file certificate.crt thành tên commercial.crt:
#mv certificate.crt commercial.crt
4. Tạo commercial_ca.crt:
Nối hai file rootca.crt và cabundle.crt thành 1 file duy nhất và đặt tên là commercial_ca.crt:
#cat rootca.crt cabundle.crt > commercial_ca.crt
5. Kiểm tra chứng chỉ số:
Chạy lệnh sau:
#/opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt
Nếu kết quả trả về là "OK" thì có thể chuyển sang bước tiếp theo. Nếu báo lỗi, bạn cần liên hệ với chúng tôi để được hỗ trợ.
6. Deploy chứng chỉ số:
Chạy lệnh sau:
#/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt
7. Restart lại Zimbra:
#su - zimbra
#zmcontrol stop
#zmcontrol start
Nếu bạn gặp lỗi sau:
cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Bạn cần chạy tiếp lệnh sau:
#/opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/cabundle.crt
Sau đó bạn cần restart lại Zimbra:
#su - zimbra
#zmcontrol stop
#zmcontrol start
8. Kích hoạt HTTPS cho Webmail:
Nếu trước đó bạn chưa kích hoạt HTTPS cho Webmail, thì bạn cần chạy tiếp lệnh sau (cần su qua user zimbra):
#su - zimbra
#zmcontrol stop
#zmcontrol start
9. Mở port trên Firewall:
Zimbra thường sử dụng các port sau đây khi chạy SSL/TLS: 465 (SMTPS), 993 (IMAPS), 995 (POP3S), 443 (HTTPS)
9. Kiểm tra lại cert đã hoạt động chính xác hay chưa:
Bạn có thể tham khảo tại đây: https://www.chungchiso.com/entry/cong-cu-kiem-tra-viec-cai-dat-chung-chi-so-ssl.html
Các port cần check là: 443, 465, 993, 995
10. Backup: Bạn cần lưu trữ lại thư mục /opt/zimbra/ssl/zimbra/commercial đề phòng sự cố có thể phải cài đặt lại Zimbra.