Google PlusFacebookTwitter

Certificat SSL gratuit StartSSL et Zimbra

By on Juin 22, 2013 in Linux, Zimbra | 6 comments

Share On GoogleShare On FacebookShare On Twitter

Une cohabitation facile : StartSSL et Zimbra

Avoir un certificat SSL signé par une haute autorité reconnue coûte bonbon, je vous laisse faire un tour chez VerySign, etc… Si un liquide salin ruisselle lentement le long de votre joue c’est normal. Si vous êtes comme moi (un sysadmin merveilleux, formidable, incroyable, avec de superbes chevilles qui enflent ?), vous avez certainement toujours signé vos certificats SSL, jusqu’au jour ou une personne s’est plainte des choses suivantes :

Ce jour venu, chez StartSSL tu atterriras !

StartSSL propose gratuitement un certificat signé pour le domaine principal et un sous-domaine au choix. Par exemple :

Je ne vais pas expliquer comment générer un certificat chez StartSSL, ne faites pas cette tête ! Une fois le certificat généré, il est impératif de récupérer les quatre fichiers suivants depuis l’interface de gestion StartSSL :

  1. ssl.key (la clé privée)
  2. ssl.crt (le certificat)
  3. ca.pem (le certificat de l’autorité, Root PEM encoded)
  4. sub.class1.server.ca.pem (le certificat lié à la classe, Class 1 Intermediate Server CA)

Koment ke C con fé avek Zimbra ?

Ah… les joies du langage SMS… Les quatre fichiers générés doivent être envoyés sur le serveur et déposés dans le répertoire /tmp/ssl. Toutes les commandes suivantes doivent être exécutées en tant que root.

Le certificat de l’autorité et la classe 1 de StartSSL doivent être concaténées dans le fichier /tmp/ssl/ca_startssl.crt

Le certificat lié au domaine StartSSL doit être copié dans le répertoire /tmp/ssl/ (juste pour une question de logistique).

La clé privée du certificat doit être copiée dans le répertoire /opt/zimbra/ssl/zimbra/commercial/ sous le nom commercial.key

Avant d’aller plus moins, il est important de vérifier que la clé et le certificat match bien.

Résultat :

Les choses sérieuses commencent. Zimbra propose une commande qui permet de déployer le certificat en se basant sur certificat ci-dessus.

Résultat :

Puis on enregistre le nouveau certificat (en passant par l’utilisateur zimbra).

Tapez yes à la question : Trust this certificate?
L’option viewdeploycrt de la commande zmcertmgr permet de s’assurer que le certificat a bien été déployé.

Résultat :

Pour que le nouveau certificat soit pris en charge, Zimbra doit être redémarré.

Un petit peu de ménage et le tour est joué.

The following two tabs change content below.

Gaëtan Trellu (goldyfruit)

OpenStack Technical Cloud Consultat chez Red Hat
Autodidacte en informatique, depuis 2005 je parcours l’écosystème Unix à la recherche de nouvelles connaissances et de nouvelles rencontres.

CC BY 4.0 Certificat SSL gratuit StartSSL et Zimbra par Gaëtan Trellu (goldyfruit) est sous Licence Creative Commons Internationale Attribution 4.0.

  • Bien souvent on a un certificat d’offert avec la location de son nom de domaine … Le mien c’est Gandi qui me l’a fourni par exemple.
    Donc bon ca fait un certificat pour 9€/an c’est pas non plus la mort ^^
    Mais c’est vrai que gratuit c’est encore mieux !

  • J’ai eu un certificat « gandi gratuit » pendant un an. Apres un an, le renouvellement du certificat pour mon utilisation est trop cher.
    Les certificats auto-signées sont la seul alternative car je n’avais jamais réussis à déployer un ssl de chez StartSSL que j’utilise avec Apache.
    Maintenant, c’est chose faite. Merci pour tes explications claires, réalisée en une petite heure.

  • Salut Bertrand,

    Juste pour ma culture perso, à combien était le renouvellement du certificat ?
    Super, merci pour ton retour.

    • OK, je me suis un peu emballé. Gandi me propose un certificat pour une seule adresse (1 nom de domaine) pour 12€.

      StartSSL est encore moins chere!