Перевыпуск самоподписанного сертификата Zimbra.

  • Автор:

zimbra-re-create-certificate-000.jpgМногие администраторы Zimbra используют самоподписанные сертификаты, что хотя и не совсем безопасно, но вполне приемлемо, если почта используется преимущественно внутри организации. При установке восьмой версии сертификат выдается сроком на пять лет. Несмотря на довольно большой срок нужно уметь перевыпускать сертификаты и крайне желательно делать это своевременно.

Также бывают случаи, когда сертификат нужно перевыпустить раньше срока его истечения, например если вы изменили имя хоста или доменное имя.

В случае истечения срока действия сертификатов вы получите ошибку при запуске служб Zimbra:

Starting ldap...Done.
Unable to determine enabled services from ldap.
Enabled services read from cache. Service list may be inaccurate.
Starting zmconfigd...Done.
Starting logger...Failed.
Starting logswatch...ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: <strong>java.security.cert.CertPathValidatorException: timestamp check failed</strong>)
zimbra logger service is not enabled! failed.

Для того, чтобы перевыпустить сертификаты Zimbra повысьте свои права до суперпользователя:

sudo -s

Смените рабочий каталог:

cd /opt/zimbra/bin

Создадим новый корневой сертификат:

./zmcertmgr createca -new

Затем новый самоподписанный сертификат:

./zmcertmgr createcrt -new -days 1825

где 1825 - срок действия в днях (5 лет), вы можете выбрать любой иной срок.

zimbra-re-create-certificate-001.jpg

Разворачиваем сертификаты:

./zmcertmgr deploycrt self
./zmcertmgr deployca

zimbra-re-create-certificate-002.jpg

Проверяем, что сертификаты развернуты для всех служб:

./zmcertmgr viewdeployedcrt

Теперь сменим пользователя на zimbra и перезапустим службы:

su zimbra
zmcontrol restart

После чего не забудьте экспортировать и распространить корневой сертификат Zimbra, об этом подробнее читайте в нашей статье: Экспорт и установка сертификата Zimbra. Если это сделать по каким-либо причинам невозможно, то удалите старый корневой сертификат, иначе вы не сможете попасть в веб-интерфейс даже проигнорировав предупреждение безопасности.

zimbra-re-create-certificate-003.jpg

Дополнительные материалы:


  1. Zimbra - почтовый сервер и не только...
  2. Экспорт и установка сертификата Zimbra
  3. Установка сертификата при помощи групповых политик
  4. Zimbra. Сбор почты с внешних аккаунтов
  5. Zimbra. Включаем SMTP-аутентификацию для внутренней сети
  6. Сравнение возможностей бесплатной и коммерческой версий Zimbra
  7. Zimbra. Настраиваем протоколы доступа к веб-интерфейсу
  8. Zimbra. Обновляем установленную версию до 8.6
  9. Перевыпуск самоподписанного сертификата Zimbra
  10. Zimbra. Обновляем операционную систему (Ubuntu Server)
  11. Zimbra. Обновляем установленную версию до 8.7
  12. Перенос данных между различными версиями Zimbra безопасно и без простоя