ある日はあまり美しくない日でしたが、彼らはすでにネイティブになっていたAlt-n mDaemonからZimbra Collaboration Suiteに切り替えることを余儀なくされました。
すべてがうまくいくだろう、とmDaemon対Holivar Zimbraは記事の範囲外であり、移行自体は非常にスムーズに進みましたが、ユーザーは信頼できない証明書に関するブラウザーやメールクライアントからの警告を心配し始めました。 メール交換は企業内でのみ行われるため、mDeamonは認証局ADによって発行された証明書を持っているため、すべてがスムーズでした。 そして、私とZimbraはADCSから証明書を発行することにしました。
まず、Webインターフェースの標準ダイアログを試してみました。 ただし、標準設定でもエラーが発生します。
True、サブジェクトの追加名フィールドが削除された場合、リクエストの生成は正常に進行します。
次に、zimbraアカウントでCommercial.csrファイルをダウンロードするか、SSHコンソールに移動して、その内容を確認します。
cat /opt/zimbra/ssl/zimbra/commercial/commercial.csr -----BEGIN CERTIFICATE REQUEST----- MIIC8zCCAdsCAQAwZDELMAkGA1UEBhMCUlUxCzAJBgNVBAgMAjUyMQ0wCwYDVQQH <skip> IYTKJfkDPOm5XO4pQBtufMMQnmwUrnqcfrt8LUfCsjWwiImfcUaG -----END CERTIFICATE REQUEST-----
その内容をコピーして、Active Directory証明機関のWebインターフェイスに移動します。 ここでは、Internet Explorerのみがこのインターフェイスで正常に動作できることに注意する必要があります。
Zimbraはbase-64証明書でのみ動作するため、適切なオプションを選択します。
「証明書リクエスト」、「高度な証明書リクエスト」、「base-64暗号化PKCS#10ファイルを使用してリクエストを発行するか、base-64暗号化PKCS#7ファイルを使用して更新リクエストを発行します」をクリックします。
最初のフィールドにリクエストテキストを挿入し、テンプレート「Webサーバー」を選択します。
[Issue]ボタンをクリックすると、この証明書が発行され、ダウンロードできます(もちろんBASE-64形式で)。
zimbra Webインターフェースを使用しても、この証明書をインストールできなかったため、コンソールを使用してこれを行います。
いずれにしても、受信した証明書とCAルート証明書を/ opt / zimbra / ssl / zimbra / Commercialディレクトリに配置します
次のコマンドで証明書の有効性を確認します。
[zimbra@zimbra commercial]$ zmcertmgr verifycrt comm commercial.key certnew.cer CA.cer ** Verifying 'certnew.cer' against 'commercial.key' Certificate 'certnew.cer' and private key 'commercial.key' match. ** Verifying 'certnew.cer' against 'CA.cer' Valid certificate chain: certnew.cer: OK [zimbra@zimbra commercial]$
すべてが問題なければ、証明書を導入します:
[zimbra@zimbra commercial]$ zmcertmgr deploycrt comm certnew.cer CA.cer ** Fixing newlines in 'certnew.cer' ** Fixing newlines in 'CA.cer' ** Verifying 'certnew.cer' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key' Certificate 'certnew.cer' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match. ** Verifying 'certnew.cer' against 'CA.cer' Valid certificate chain: certnew.cer: OK ** Copying 'certnew.cer' to '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' ** Copying 'CA.cer' to '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt' ** Appending ca chain 'CA.cer' to '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' ** Importing cert '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt' as 'zcs-user-ommercial_ca' into cacerts '/opt/zimbra/common/lib/jvm/java/jre/lib/security/cacerts' ** NOTE: restart mailboxd to use the imported certificate. ** Saving config key 'zimbraSSLCertificate' via zmprov modifyServer zimbra.domain.local...ok ** Saving config key 'zimbraSSLPrivateKey' via zmprov modifyServer zimbra.domain.local...ok ** Installing ldap certificate '/opt/zimbra/conf/slapd.crt' and key '/opt/zimbra/conf/slapd.key' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/slapd.crt' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/slapd.key' ** Creating file '/opt/zimbra/ssl/zimbra/jetty.pkcs12' ** Creating keystore '/opt/zimbra/mailboxd/etc/keystore' ** Installing mta certificate '/opt/zimbra/conf/smtpd.crt' and key '/opt/zimbra/conf/smtpd.key' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/smtpd.crt' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/smtpd.key' ** Installing proxy certificate '/opt/zimbra/conf/nginx.crt' and key '/opt/zimbra/conf/nginx.key' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/nginx.crt' ** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/nginx.key' ** NOTE: restart services to use the new certificates. ** Cleaning up 3 files from '/opt/zimbra/conf/ca' ** Removing /opt/zimbra/conf/ca/ca.key ** Removing /opt/zimbra/conf/ca/ca.pem ** Removing /opt/zimbra/conf/ca/d8183cc3.0 ** Copying CA to /opt/zimbra/conf/ca ** Copying '/opt/zimbra/ssl/zimbra/ca/ca.key' to '/opt/zimbra/conf/ca/ca.key' ** Copying '/opt/zimbra/ssl/zimbra/ca/ca.pem' to '/opt/zimbra/conf/ca/ca.pem' ** Creating CA hash symlink 'd8183cc3.0' -> 'ca.pem' ** Creating /opt/zimbra/conf/ca/commercial_ca_1.crt ** Creating CA hash symlink '0c6ba62c.0' -> 'commercial_ca_1.crt' [zimbra@zimbra commercial]$
コマンドで適用された証明書を表示できます
zmcertmgr viewdeployedcrt
結局のところ、zimbraサービスを再起動します
zmcontrol restart
結果を確認します。
警告はありません。サービスは有効として表示されます。 何が必要でしたか!