zimbra 8.x 安装RapidSSL

时间:2022-06-12 03:15:50

安装好zimbra后会自动生成一个自签名证书,但是之前我在rapidSSL申请了通配证书,所以只要将证书上传就可以了


先下载证书的文件包括以下几个(购买的通配证书所以前缀是star)

1、服务器证书crt STAR.xxxx.com.crt

2、服务器私钥key STAR.xxxx.com.key

3、根证书ca-bundle ca-bundle.crt     也有叫ca_chain的


由于zimbra用证书的地方比较多,手动安装估计会产生很多不一致的地方,还是用zm的工具好了


在管理页面【主页-配置-证书】中先新建一个企业CSR,不用管输入的什么信息只要生成就行(用来让你申请证书使用的),,咱已经有了所以不用管它。


在终端,进入zimbra用户

sudo su zimbra

覆盖key文件

cp STAR.xxxx.com.key /opt/zimbra/ssl/zimbra/commercial/commercial.key


验证证书

zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key STAR.xxxx.com.crt ca-bundle.crt

正常应该返回ok


但报错:

error 2 at 2 depth lookup:unable to get issuer certificate


最终解决:

由于销售商给的根证书只有2段包含2部分:

第一个:

Issued to: RapidSSL SHA256 CA

Issued by: GeoTrust Global CA

Valid from: 12/11/2013 to 5/20/2022

Serial Number: 02 3a 71


第二个:

Issued to: GeoTrust Global CA

Issued by: Equifax Secure Certificate Authority

Valid from: 5/20/2002 to 8/20/2018

Serial Number: 12 bb e6


并不是linux可以进行验证的信任机构(openssl中会内置比较大的机构的根证书,但rapidssl显然不是,就需要证书链来认证,换句话说证书链不完整);所以,验证不能通过


需要在ca文件里再加入更高一级的根证书,

直到和openssl中内置的证书关联并信任 


Issued to: Equifax Secure Certificate Authority

Issued by: Equifax Secure Certificate Authority

Valid from: 8/22/1998 to 8/22/2018


从以下地址下载:


https://knowledge.rapidssl.com/library/VERISIGN/INTERNATIONAL_AFFILIATES/GeoTrust/Equifax_Secure_Certificate_Authority.pem


或者如果不行的话您需要让您的供应商提供完整的证书链,直到验证通过


验证通过您会得到一个 mach 和一个ok



好了可以继续安装证书了

zmcertmgr deploycrt comm STAR.xxxx.com.crt ca-bundle.crt


得到一大批ok 和最后的 save copy 以及create之后就可以了


验证一下:

zmcertmgr viewdeployedcrt

如果得到的结果中,不同模块中的证书都是自己的了就可以了 

当然 生效需要重启

zmcontrol  status

重启好以后,记得关闭浏览器打开zimbra 就可以看到证书是您已经导入的了


安装中最大的问题就是 证书,如果您的根证书不是在一个文件里,那需要将所有根证书合并以后使用,如果您是在web中操作,需要将所有根证书都导入才行,当然也可以合并后上传1个文件。