Hướng dẫn cài đặt SSL cho Zimbra
Để cài đặt chứng thư số SSL cho Zimbra, bạn thực hiện như sau:
1. Upload các file commercial.crt,commercial_ca.crt lên server và đặt trong thư mục /opt/zimbra/ssl/zimbra/commercial.
Lưu ý: Bạn nên backup thư mục /opt/zimbra/ssl/zimbra/commercial trước khi thực hiện đề phòng trục trặc có thể chuyển lại như cũ.
Như vậy lúc này trong thư mục /opt/zimbra/ssl/zimbra/commercial sẽ có các file sau đây: commercial.key, commercial.crt, commercial_ca.crt.
2. SSH vào server bằng quyền root và di chuyển vào thư mục /opt/zimbra/ssl/zimbra/commercial
3. Chạy lệnh sau để kiểm tra chứng thư số:
/opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt
Nếu kết quả trả về là “Certificate is OK” thì có thể chuyển sang bước tiếp theo. Nếu báo lỗi, bạn cần liên hệ với chúng tôi để được hỗ trợ.
4. Chạy lệnh sau để deploy chứng thư số:
/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt
Lưu ý: Nếu bạn gặp lỗi sau khi deploy chứng thư số (dù kiểm tra thì kết quả trả về OK):
XXXXX ERROR: failed to create jetty.pkcs12
No certificate matches private key
Bạn cần mở file commercial.crt và thêm vào 1 dòng trắng ở cuối file. Sau đó chạy lệnh kiểm tra lại, và deploy lại sẽ khắc phục được lỗi này.
5. Restart lại Zimbra:
su - zimbra
zmcontrol stop
zmcontrol start
Lưu ý: Nếu bạn gặp lỗi sau khi restart Zimbra:
cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Bạn cần chạy lệnh sau:
/opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
Sau đó bạn cần upload lại file commercial.crt lên thư mục /opt/zimbra/ssl/zimbra/commercial/ rồi chạy lại lệnh deploy chứng thư số và restart lại Zimbra.
6. Zimbra thường sử dụng các port sau đây khi chạy SSL/TLS: 465 (SMTPS), 993 (IMAPS), 995 (POP3S), 443 (HTTPS) do đó nếu máy chủ có cài đặt Firewall thì bạn cần phải mở các port trên để Zimbra có thể hoạt động.
Lưu ý: Sau khi cài đặt chứng thư số SSL, nếu bạn gặp lỗi ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY khi truy cập vào Webmail
Đối với các máy chủ chạy Zimbra phiên bản cũ hoặc không thương xuyên cập nhật, Google Chrome sẽ cảnh báo lỗi bảo mật ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY khi truy cập vào Webmail.
Để khắc phục lỗi này, giải pháp tốt nhất là nâng cấp ZCS lên phiên bản mới nhất. Tuy nhiên, không phải lúc nào bạn cũng có thể nâng cấp ZCS ngay được. Trong trường hợp này, bạn có thể chạy các lệnh sau từ console dưới quyền root:
zmprov mcf +zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
zmprov mcf +zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
zmprov mcf +zimbraSSLExcludeCipherSuites SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
zmmailboxdctl restart