zmproxyctl stop
zmmailboxdctl stop
On RedHat/CentOS 6 you will need to enable the EPEL repository before install.
wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm
yum repolist
нужно чтобы была строка похожая на
epel Extra Packages for Enterprise Linux 5 - i386 4,320+1,408
далее
yum install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone
Последняя команда — собственно запуск скрипта. Скрипт задаст два вопроса.
email и домен. ответы можно положить в файл и запускать с другим ключем из скрипта. Скорей всего начнет ругатся на 443 и 80 порты. нужно временно отключить файрвол
service iptables stop
//снова запускаем скрипт и радуемся
./letsencrypt-auto certonly --standalone
сd /etc/letsencrypt/live/grz.grom.ru
ll
и наблюдаем файлы сертификата. осталось внедрить их в систему.
# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
выдаст ошибку
XXXXX ERROR: Invalid Certificate: cert.pem: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
error 2 at 1 depth lookup:unable to get issuer certificate
вставляю в chain.pem серт по ссылке
https://www.identrust.com/certificates/trustid/root-download-x3.html
добавляю в него
——END CERTIFICATE——
——BEGIN CERTIFICATE——
проверяю
# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying cert.pem against privkey.pem
Certificate (cert.pem) and private key (privkey.pem) match.
Valid Certificate: cert.pem: OK
вот теперь все пучком — остался deploy
но сначала backup ssl
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")
copy private key
cp /etc/letsencrypt/live/grz.grom.ru/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
root@zimbra86:/etc/letsencrypt/live/zimbra86.zimbra.io
# /opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
** Verifying cert.pem against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (cert.pem) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: cert.pem: OK
** Copying cert.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain chain.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...failed.
** Saving server config key zimbraSSLPrivateKey...failed.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
zmcontrol restart