Zimbra: SSL Zertifikat hinzufügen

Im folgenden fügen wir ein SSL Zertifikat von StartSSL zu Zimbra hinzu und benutzen dieses um Zimbra über SSL zugänglich zu machen.

Als erstes laden wir alle Zertifikate herunter und speichern diese auf dem Server ab.

Benötigt werden im PEM Format:

  • Das Root-Zertifikat (ca.pem)
  • Das Chain-Zertifikat (sub.class2.server.ca.pem)
  • Der Private Schlüssel (unverschlüsselt, ssl.key)
  • Der Öffentliche Schöüssel (ssl.crt)

Anschließend wird ein CA Zertifikat Bundle erstellt:

# cat ca.pem sub.class2.server.ca.pem > ca_bundle.crt

Der Private Schlüssel wird anschließend an die korrekte Stelle kopiert:

# cp ssl.key /opt/zimbra/ssl/zimbra/commercial/commercial.key

Nun wechseln wir mit cd in das Verzeichnis /opt/zimbra/bin und benutzen folgenden Command um die Zertifikate zu deployen:

# ./zmcertmgr deploycrt comm ssl.crt ca_bundle.crt

Nun muss der Key nur noch in den Keystore eingefügt werden:

# /opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial.crt

Und abschließend einmal Zimbra neu starten!

03 Aug

by 

2 Comments

  • Johnny @virtualmarc

    Hi, ich komm da nicht mit... Wo holst du den 'privaten Schlüssel' her? (unverschlüsselt, ssl.key). Der Rest ist mir klar. Hab schon versucht selber Keys zu generieren, jedoch 'passen' die dann nicht zum ca_bundle.crt welches ja 'nur' den Startssl Inhalt hat.... mit dem 'öffentlichen schlüssel' ssl.crt meinst Du das .crt File, welches man von StartSSL kriegt, richtig?

    Reply 0 Likes
    • virtualmarc @virtualmarc

      Ich generiere den privaten Schlüssel immer direkt bei StartSSL. Im Wizard ganz am Anfang. Dieser ist aber mit dem eingegeben Passwort verschlüsselt und muss noch entschlüsselt werden (Command steht über dem Key).

      Alternativ kann man auch ein CSR (Certificate Signing Request) auf dem Server generieren, dann reicht man das CSR bei StartSSL ein. Der private Key liegt dann lokal wo man ihn hin generiert hat.

      Das .crt File is der signierte Public Key dem man am Ende nach der validierung von StartSSL bekommt. Egal ob man den private Key über die Webseite generiert hat oder einen CSR eingereicht hat. Es kann zwischendurch auch mal ein paar Stunden dauern bis man das crt kriegt.

      Reply 0 Likes

Leave a reply

Created with Snap