Проблема с сертификатом letsencrypt после 30 сентября для zimbra

[Imperator]

Коллеги, добрый день!

Нужна помощь с обновлением сертификата.

Обнаружил, что после бэкапа и рестарта зимбы ldap не запустился. Я отключил проверку и запустил zimbra.

[zimbra@mail ~]$ zmlocalconfig -e ldap_starttls_supported=0

при попытке обновления сертификата он всегда ругается как я понимаю на потерянную цепочку в сертификате.

Code Select Expand

zimbra@vm-mail:~/ssl/letsencrypt$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying 'cert.pem' against 'privkey.pem'
Certificate 'cert.pem' and private key 'privkey.pem' match.
** Verifying 'cert.pem' against 'chain.pem'
ERROR: Unable to validate certificate chain: cert.pem: C = US, O = Let's Encrypt, CN = R3
error 2 at 1 depth lookup:unable to get issuer certificate
Я перечитал кучу форумов, обновил certbot, по этой статье https://habr.com/ru/post/580092/ проверил, что ISRG root в доверенных

Code Select Expand

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"
subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Но при любой попытке обновить сертификат вручную или скриптом для обновлений сертификата получаю verification failed

Code Select Expand

obtain-and-deploy-letsencrypt-cert.sh: info: start nginx
obtain-and-deploy-letsencrypt-cert.sh: info: assemble cert files
obtain-and-deploy-letsencrypt-cert.sh: info: test and deploy certificates
obtain-and-deploy-letsencrypt-cert.sh: error: Verification of the issued certificate failed.

или если вручную, то

Code Select Expand

zimbra@vm-mail:~/ssl/letsencrypt$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying 'cert.pem' against 'privkey.pem'
Certificate 'cert.pem' and private key 'privkey.pem' match.
** Verifying 'cert.pem' against 'chain.pem'
ERROR: Unable to validate certificate chain: cert.pem: C = US, O = Let's Encrypt, CN = R3
error 2 at 1 depth lookup:unable to get issuer certificate

прошу помощи в решении проблемы!

[Уваров А.С.]

https://wiki.zimbra.com/wiki/Installing_a_LetsEncrypt_SSL_Certificate

[Imperator]

https://wiki.zimbra.com/wiki/Installing_a_LetsEncrypt_SSL_Certificate

Спасибо за наводку!

Все починил.

Подскажите, а при последующем обновлении certbot будет корректную цепочку обрабатывать или нужно каждый раз ему указывать

--preferred-chain 'ISRG Root X1'  ?

или это разовая операция и в дальнейшем скрипт по обновлению сертификата будет корректно отрабатывать?

[Уваров А.С.]

Нужно, иначе он получит сертификат "нового образца", без ISRG Root X1 в цепочке, с которым система не сможет работать.

Проблема здесь не в certbot, а в конечных системах, которые не имеют нужных корневых CA сертификатов и не могут построить цепочку доверия к новым сертификатам.

[morkoveved]

Добрый день.
Ubuntu 18.04
Zimbra 9.0.0
certbot 0.27.0

при попытке проверить сертификат, аналогичная ошибка.
Пробую

certbot certonly --standalone --preferred-chain "ISRG Root X1"

пишет

certbot: error: unrecognized arguments: --preferred-chain ISRG Root X1

[Уваров А.С.]

Установите последнюю версию certbot.