标签:zimbra ca rapidssl 证书 ssl 自建邮箱
安装好zimbra后会自动生成一个自签名证书,但是之前我在rapidSSL申请了通配证书,所以只要将证书上传就可以了
先下载证书的文件包括以下几个(购买的通配证书所以前缀是star)
1、服务器证书crt STAR.xxxx.com.crt
2、服务器私钥key STAR.xxxx.com.key
3、根证书ca-bundle ca-bundle.crt 也有叫ca_chain的
由于zimbra用证书的地方比较多,手动安装估计会产生很多不一致的地方,还是用zm的工具好了
在管理页面【主页-配置-证书】中先新建一个企业CSR,不用管输入的什么信息只要生成就行(用来让你申请证书使用的),咱已经有了所以不用管它。
在终端,进入zimbra用户
sudo su zimbra
覆盖key文件
cp STAR.xxxx.com.key /opt/zimbra/ssl/zimbra/commercial/commercial.key
验证证书
zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key STAR.xxxx.com.crt ca-bundle.crt
正常应该返回ok
但报错:
error 2 at 2 depth lookup:unable to get issuer certificate
最终解决:
由于销售商给的根证书只有2段包含2部分:
第一个:
Issued to: RapidSSL SHA256 CA
Issued by: GeoTrust Global CA
Valid from: 12/11/2013 to 5/20/2022
Serial Number: 02 3a 71
第二个:
Issued to: GeoTrust Global CA
Issued by: Equifax Secure Certificate Authority
Valid from: 5/20/2002 to 8/20/2018
Serial Number: 12 bb e6
并不是linux可以进行验证的信任机构(openssl中会内置比较大的机构的根证书,但rapidssl显然不是,就需要证书链来认证,换句话说证书链不完整);所以,验证不能通过
需要在ca文件里再加入更高一级的根证书,
直到和openssl中内置的证书关联并信任
Issued to: Equifax Secure Certificate Authority
Valid from: 8/22/1998 to 8/22/2018
从以下地址下载:
或者如果不行的话您需要让您的供应商提供完整的证书链,直到验证通过
验证通过您会得到一个 mach 和一个ok
好了可以继续安装证书了
zmcertmgr deploycrt comm STAR.xxxx.com.crt ca-bundle.crt
得到一大批ok 和最后的 save copy 以及create之后就可以了
验证一下:
zmcertmgr viewdeployedcrt
如果得到的结果中,不同模块中的证书都是自己的了就可以了
当然 生效需要重启
zmcontrol status
重启好以后,记得关闭浏览器打开zimbra 就可以看到证书是您已经导入的了
安装中最大的问题就是 证书,如果您的根证书不是在一个文件里,那需要将所有根证书合并以后使用,如果您是在web中操作,需要将所有根证书都导入才行,当然也可以合并后上传1个文件。
本文出自 “仝渊的运维小站” 博客,请务必保留此出处http://axe999.blog.51cto.com/8295103/1927331
标签:zimbra ca rapidssl 证书 ssl 自建邮箱
原文地址:http://axe999.blog.51cto.com/8295103/1927331
