Erdem AYTEK

Yazılım, Tasarım, Linux, Windows ve Kişisel Paylaşımlarım

Zimbra Mail Sunucuya Comodo/Sectigo SSL Certificate Yükleme

by · Published · Updated

Zimbra mail sunucuya farklı yöntemler ile sertifika yüklenebilir. Her sertifika üreticisine yüklemede ufak farklılıklar olabilir. Bu yazımda Comodo/Sectigo SSL Certificate CLI ile nasıl yüklenebilir aktarmaya çalışacağım.

İhtiyacımız Olan Sertifikalar

  • dosya_adi.crt : Üreticinin verdiği domain sertifikamızdır.
  • dosya_adi.key: Openssl vb. ile sertifika talebi oluştururken üretilen Private keydir.
  • AddTrustExternalCARoot.crt (Üretici verir veya üreticinin sitesinden kendimiz indiririz.)
  • COMODORSAAddTrustCA.crt (Üretici verir veya üreticinin sitesinden kendimiz indiririz.)
  • COMODORSADomainValidationSecureServerCA.crt (Üretici verir veya üreticinin sitesinden kendimiz indiririz.)
  • dosya_adi.ca-bundle: Bazı sertifikalarda domain sertifikanız ve dosya_adi.ca-bundle olmak üzere iki dosya verilir. ca-bundle dosyasında CARoot hariç diğer sertifikalar bulunur.

Sertifikaların birleştirilmesi

Birleştirme işlemlerini not defteri ile sertifika dosyalarını açarak aşağıdaki komuttaki verilen sıra ile de manuel alt alta boşluk bırakmadan birleştirebilirsiniz.

Linux kullandığım için bu dosyaları cat komutunu kullanarak commercial_ca.crt isminde /tmp dizinine birleştirerek koydum.

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > /tmp/commercial_ca.crt

Eğer ki ca-bundle dosyanız var ise aşağıdaki gibi işlem yapıyoruz.

cat AddTrustExternalCARoot.crt dosya_adi.ca-bundle > /tmp/commercial_ca.crt

Aşağıdaki komut ile domain sertifikasını da tmp dizinine commercial.crt isminde kopyalıyoruz.

cp doman_sertifika_dosya_adi.crt /tmp/commercial.crt

/opt/zimbra/ssl/zimbra/commercial/ yoluna privite key dosyamızı commercial.key olarak isimlendirip kopyalıyoruz

cp key_dosyasi_adi.key /opt/zimbra/ssl/zimbra/commercial/commercial.key

Aşağıdaki komutlar ile eski sertifika bilgilerini devre dışı bırakıyor. Yeni boş klasörleri oluşturuyoruz. Sonrasında ise commercial.key dosyasını yeni alana taşıyoruz.

mv /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.old
mkdir -p /opt/zimbra/ssl/zimbra/{ca,commercial,server}
mv /opt/zimbra/ssl/zimbra.old/commercial/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.key
chmod 750 /opt/zimbra/ssl/zimbra
chmod 750 /opt/zimbra/ssl/zimbra/*

Aşağıdaki komut sayesinde keyimiz ile sertifikalarımızı kontrol ediyoruz. Eğer sorun yoksa kuruluma başlayabiliriz. Bu aşamayı zimbra ZCS 8.7 ve üzeri ise zimbra kullanıcısı ile yapmanız gerekiyor.

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt 

** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK

Sertifikanın Aktif Edilmesi

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt komutunu kullanarak sertifikamızı aktif ediyoruz. İşlem bittikten sonra zmcontrol servisini yeniden başlatarak kurulumu bitiriyoruz.

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt 

** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK
** Copying /tmp/commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain /tmp/commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
zmcontrol restart

Sertifikanın Kontrolü

/opt/zimbra/bin/zmcertmgr viewdeployedcrt

Yardımcı Kaynaklar

https://wiki.zimbra.com/wiki/Root_CA_certificate_has_expired

https://wiki.zimbra.com/wiki/Installing_a_Comodo_SSL_Certificate_on_Zimbra_Collaboration

How to Install an SSL Certificate on Zimbra – SSL Dragon

SSL installation error – .ca and .crt given – Zimbra Forums

Tags:

You may also like...