28 января 2022, 15:23

Цитата дня:

Ум заключается не только в знании, но и в умении прилагать знание на деле. Аристотель


Проблема с сертификатом letsencrypt после 30 сентября для zimbra

Автор Imperator, 03 ноября 2021, 11:47

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Imperator

Коллеги, добрый день!

Нужна помощь с обновлением сертификата.

Обнаружил, что после бэкапа и рестарта зимбы ldap не запустился. Я отключил проверку и запустил zimbra.

[zimbra@mail ~]$ zmlocalconfig -e ldap_starttls_supported=0

при попытке обновления сертификата он всегда ругается как я понимаю на потерянную цепочку в сертификате.

zimbra@vm-mail:~/ssl/letsencrypt$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying 'cert.pem' against 'privkey.pem'
Certificate 'cert.pem' and private key 'privkey.pem' match.
** Verifying 'cert.pem' against 'chain.pem'
ERROR: Unable to validate certificate chain: cert.pem: C = US, O = Let's Encrypt, CN = R3
error 2 at 1 depth lookup:unable to get issuer certificate


Я перечитал кучу форумов, обновил certbot, по этой статье https://habr.com/ru/post/580092/ проверил, что ISRG root в доверенных

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Но при любой попытке обновить сертификат вручную или скриптом для обновлений сертификата получаю verification failed

obtain-and-deploy-letsencrypt-cert.sh: info: start nginx
obtain-and-deploy-letsencrypt-cert.sh: info: assemble cert files
obtain-and-deploy-letsencrypt-cert.sh: info: test and deploy certificates
obtain-and-deploy-letsencrypt-cert.sh: error: Verification of the issued certificate failed.


или если вручную, то


zimbra@vm-mail:~/ssl/letsencrypt$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying 'cert.pem' against 'privkey.pem'
Certificate 'cert.pem' and private key 'privkey.pem' match.
** Verifying 'cert.pem' against 'chain.pem'
ERROR: Unable to validate certificate chain: cert.pem: C = US, O = Let's Encrypt, CN = R3
error 2 at 1 depth lookup:unable to get issuer certificate


прошу помощи в решении проблемы!


Imperator

https://wiki.zimbra.com/wiki/Installing_a_LetsEncrypt_SSL_Certificate
Спасибо за наводку!

Все починил.

Подскажите, а при последующем обновлении certbot будет корректную цепочку обрабатывать или нужно каждый раз ему указывать

--preferred-chain 'ISRG Root X1'  ?

или это разовая операция и в дальнейшем скрипт по обновлению сертификата будет корректно отрабатывать?


Уваров А.С.

Нужно, иначе он получит сертификат "нового образца", без ISRG Root X1 в цепочке, с которым система не сможет работать.

Проблема здесь не в certbot, а в конечных системах, которые не имеют нужных корневых CA сертификатов и не могут построить цепочку доверия к новым сертификатам.

morkoveved

#4
27 декабря 2021, 14:36 Последнее редактирование: 27 декабря 2021, 14:48 от morkoveved
Добрый день.
Ubuntu 18.04
Zimbra 9.0.0
certbot 0.27.0

при попытке проверить сертификат, аналогичная ошибка.
Пробую

certbot certonly --standalone --preferred-chain "ISRG Root X1"

пишет

certbot: error: unrecognized arguments: --preferred-chain ISRG Root X1

Уваров А.С.

Установите последнюю версию certbot.

Вверх