Utilisateur d'origine : Pierre
Dans ce tutoriel, nous avons vu comment installer Zimbra Collaboration sur notre serveur. Seulement, par défaut, Zimbra tourne avec un certificat auto-signé, ce qui peut être gênant pour la configuration des clients mail, et pour l'accès à l'interface via notre navigateur.
La solution est donc de déplyer un certificat SSL émanant d'une autorité de confiance sur Zimbra. Le choix le plus simple reste Letsencrypt, en raison de sa gratuité et de sa facilité d'accès.
Pré-requis
Vous devez simplement disposer de Letsencrypt sur votre serveur. Si vous ne l'avez pas, il suffit de l'installer via les dépôts de la sorte :
apt-get install letsencrypt
Création et installation du certificat
Tout d'abord, il faut stopper deux services (le proxy Zimbra et le service gérant les boîtes mail à proprement dit). Cette opération ne peut se faire que via l'utilisateur zimbra
.
su - zimbra
zmproxyctl stop
zmmailboxdctl stop
exit
Si un mot de passe vous est demandé, celui-ci est le mot de passe d'administration de Zimbra que nous avons défini à l'installation.
Ensuite, lançons Letsencrypt. Ce lancement doit se faire en mode manuel, car il ne peut pas configurer le serveur Zimbra automatiquement, mais uniquement générer des certificats que nous installerons nous-même :
letsencrypt certonly --standalone
Entrez votre adresse mail, acceptez les conditions d'utilisation, puis renseignez le domaine pointant vers votre serveur Zimbra.
Le certificat a été généré dans /etc/letsencrypt/live/domain.tld/
(avec domain.tld
étant votre domaine). Il nous reste une petite opération à effectuer sur le certificat : ajouter l'autorité de certification racine. Cette dernière peut être téléchargée ici, mais, si vous ne voulez pas vous embêter la vie, ajoutez simplement ce qui suit au fichier /etc/letsencrypt/live/domain.tld/chain.pem
:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Enfin, copiez les fichiers dans un répertoire dédié aux certificats Zimbra, et attribuez les bonnes permissions afin que Zimbra puisse y accéder :
mkdir /opt/zimbra/ssl/letsencrypt
cp /etc/letsencrypt/live/domain.tld/* /opt/zimbra/ssl/letsencrypt/
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
Tests et déploiement
Tout d'abord, testons notre installation avant de déployer le certificat sur Zimbra. Encore une fois, ces commandes doivent êtres faites sous l'utilisateur zimbra
:
su - zimbra
cd /opt/zimbra/ssl/letsencrypt/
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
La commande devrait renvoyer Valid Certificate: cert.pem: OK
. Si ce n'est pas le cas, vérifiez que vous avez bien copié les bons fichiers au bon endroit.
Si tout est bon, on peut déployer le certificat (toujours en tant qu'utilisateur zimbra
), et redémarrer tous les services :
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
zmcontrol restart
exit
C'est tout bon ! Votre certificat SSL est installé. Pour le renouveler, Il vous suffit de remplacer les fichiers par le nouveau, et de re-déployer comme nous venons de le faire.
Sources
Ce tutoriel a été réalisé d'après la documentation officielle de Zimbra. Il a un rôle de traduction et d'éclaircissement des opérations à réaliser.