Перевыпуск самоподписанного сертификата Zimbra.

  • Автор:

zimbra-re-create-certificate-000.jpgМногие администраторы Zimbra используют самоподписанные сертификаты, что хотя и не совсем безопасно, но вполне приемлемо, если почта используется преимущественно внутри организации. При установке восьмой версии сертификат выдается сроком на пять лет. Несмотря на довольно большой срок нужно уметь перевыпускать сертификаты и крайне желательно делать это своевременно.

Также бывают случаи, когда сертификат нужно перевыпустить раньше срока его истечения, например если вы изменили имя хоста или доменное имя.

В случае истечения срока действия сертификатов вы получите ошибку при запуске служб Zimbra:

Starting ldap...Done.
Unable to determine enabled services from ldap.
Enabled services read from cache. Service list may be inaccurate.
Starting zmconfigd...Done.
Starting logger...Failed.
Starting logswatch...ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: <strong>java.security.cert.CertPathValidatorException: timestamp check failed</strong>)
zimbra logger service is not enabled! failed.

Для того, чтобы перевыпустить сертификаты Zimbra повысьте свои права до суперпользователя:

sudo -s

Смените рабочий каталог:

cd /opt/zimbra/bin

Создадим новый корневой сертификат:

./zmcertmgr createca -new

Затем новый самоподписанный сертификат:

./zmcertmgr createcrt -new -days 1825

где 1825 - срок действия в днях (5 лет), вы можете выбрать любой иной срок.

zimbra-re-create-certificate-001.jpg

Разворачиваем сертификаты:

./zmcertmgr deploycrt self
./zmcertmgr deployca

zimbra-re-create-certificate-002.jpg

Проверяем, что сертификаты развернуты для всех служб:

./zmcertmgr viewdeployedcrt

Теперь сменим пользователя на zimbra и перезапустим службы:

su zimbra
zmcontrol restart

После чего не забудьте экспортировать и распространить корневой сертификат Zimbra, об этом подробнее читайте в нашей статье: Экспорт и установка сертификата Zimbra. Если это сделать по каким-либо причинам невозможно, то удалите старый корневой сертификат, иначе вы не сможете попасть в веб-интерфейс даже проигнорировав предупреждение безопасности.

zimbra-re-create-certificate-003.jpg

Дополнительные материалы:


  1. Zimbra - почтовый сервер и не только...
  2. Экспорт и установка сертификата Zimbra
  3. Установка сертификата при помощи групповых политик
  4. Zimbra. Сбор почты с внешних аккаунтов
  5. Zimbra. Включаем SMTP-аутентификацию для внутренней сети
  6. Сравнение возможностей бесплатной и коммерческой версий Zimbra
  7. Zimbra. Настраиваем протоколы доступа к веб-интерфейсу
  8. Zimbra. Обновляем установленную версию до 8.6
  9. Перевыпуск самоподписанного сертификата Zimbra
  10. Zimbra. Обновляем операционную систему (Ubuntu Server)
  11. Zimbra. Обновляем установленную версию до 8.7