zimbra 8.8 Let’s Encrypt cert

После обновления корпоративного почтовика с удивлением обнаружил изменения в процедуре обновления сертификата от letsencrypt. А именно

/opt/zimbra/bin/zmcertmgr verifycrt comm .....

запущенная под пользователем zimbra Возвращает ошибку о невозможности добраться до файлов. Оказалось что теперь необходимо под root копировать файлы серта и назначать им права. Теперь процедура обновления серта выглядит так:

#as zimbra user

zmproxyctl stop 
zmmailboxdctl stop

#as root - и опустить файрвол

cd /root/letsencrypt/
./letsencrypt-auto certonly --standalone

#файлы серта ложатся в /etc/letsencrypt/live/
#их необходимо скопировать и задать владельца

mkdir /opt/zimbra/ssl/letsencrypt
cp /etc/letsencrypt/live/domain.example.com/* /opt/zimbra/ssl/letsencrypt/
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
ls -la /opt/zimbra/ssl/letsencrypt/

As zimbra user
cd /opt/zimbra/ssl/letsencrypt/
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
#проверка должна пройти успешно

#далее нужно забекапить старые серты (на всякий случай)
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

#далее собственно deploy
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem

Потом надо запустить все что остановлено, или перезапустить сервак.

источник

zimbra 8.6 Let’s Encrypt cert

zmproxyctl stop
zmmailboxdctl stop

On RedHat/CentOS 6 you will need to enable the EPEL repository before install.

wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm

yum repolist

нужно чтобы была строка похожая на

epel Extra Packages for Enterprise Linux 5 - i386 4,320+1,408

далее

yum install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

./letsencrypt-auto certonly --standalone

Последняя команда — собственно запуск скрипта. Скрипт задаст два вопроса.

email и домен. ответы можно положить в файл и запускать с другим ключем из скрипта.  Скорей всего начнет ругатся на 443 и 80 порты. нужно временно отключить файрвол

 service iptables stop
//снова запускаем скрипт и радуемся
./letsencrypt-auto certonly --standalone
сd /etc/letsencrypt/live/grz.grom.ru
ll

и наблюдаем файлы сертификата. осталось внедрить их в систему.

# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem


выдаст ошибку

XXXXX ERROR: Invalid Certificate: cert.pem: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

error 2 at 1 depth lookup:unable to get issuer certificate
 

вставляю в chain.pem серт по ссылке
https://www.identrust.com/certificates/trustid/root-download-x3.html
добавляю в него
——END CERTIFICATE——
——BEGIN CERTIFICATE——

проверяю


# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying cert.pem against privkey.pem
Certificate (cert.pem) and private key (privkey.pem) match.
Valid Certificate: cert.pem: OK

вот теперь все пучком — остался deploy

но сначала backup ssl

cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

copy private key

 cp /etc/letsencrypt/live/grz.grom.ru/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
root@zimbra86:/etc/letsencrypt/live/zimbra86.zimbra.io
 # /opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
 ** Verifying cert.pem against /opt/zimbra/ssl/zimbra/commercial/commercial.key
 Certificate (cert.pem) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
 Valid Certificate: cert.pem: OK
 ** Copying cert.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
 ** Appending ca chain chain.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
 ** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
 ** NOTE: mailboxd must be restarted in order to use the imported certificate.
 ** Saving server config key zimbraSSLCertificate...failed.
 ** Saving server config key zimbraSSLPrivateKey...failed.
 ** Installing mta certificate and key...done.
 ** Installing slapd certificate and key...done.
 ** Installing proxy certificate and key...done.
 ** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
 ** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
 ** Installing CA to /opt/zimbra/conf/ca...done.
zmcontrol restart