Google PlusFacebookTwitter

Certificat SSL gratuit StartSSL et Zimbra

By on Juin 22, 2013 in Linux, Zimbra | 6 comments

Share On GoogleShare On FacebookShare On Twitter

Une cohabitation facile : StartSSL et Zimbra

Avoir un certificat SSL signé par une haute autorité reconnue coûte bonbon, je vous laisse faire un tour chez VerySign, etc… Si un liquide salin ruisselle lentement le long de votre joue c’est normal. Si vous êtes comme moi (un sysadmin merveilleux, formidable, incroyable, avec de superbes chevilles qui enflent ?), vous avez certainement toujours signé vos certificats SSL, jusqu’au jour ou une personne s’est plainte des choses suivantes :

Ce jour venu, chez StartSSL tu atterriras !

StartSSL propose gratuitement un certificat signé pour le domaine principal et un sous-domaine au choix. Par exemple :

Je ne vais pas expliquer comment générer un certificat chez StartSSL, ne faites pas cette tête ! Une fois le certificat généré, il est impératif de récupérer les quatre fichiers suivants depuis l’interface de gestion StartSSL :

  1. ssl.key (la clé privée)
  2. ssl.crt (le certificat)
  3. ca.pem (le certificat de l’autorité, Root PEM encoded)
  4. sub.class1.server.ca.pem (le certificat lié à la classe, Class 1 Intermediate Server CA)

Koment ke C con fé avek Zimbra ?

Ah… les joies du langage SMS… Les quatre fichiers générés doivent être envoyés sur le serveur et déposés dans le répertoire /tmp/ssl. Toutes les commandes suivantes doivent être exécutées en tant que root.

Le certificat de l’autorité et la classe 1 de StartSSL doivent être concaténées dans le fichier /tmp/ssl/ca_startssl.crt

Le certificat lié au domaine StartSSL doit être copié dans le répertoire /tmp/ssl/ (juste pour une question de logistique).

La clé privée du certificat doit être copiée dans le répertoire /opt/zimbra/ssl/zimbra/commercial/ sous le nom commercial.key

Avant d’aller plus moins, il est important de vérifier que la clé et le certificat match bien.

Résultat :

Les choses sérieuses commencent. Zimbra propose une commande qui permet de déployer le certificat en se basant sur certificat ci-dessus.

Résultat :

Puis on enregistre le nouveau certificat (en passant par l’utilisateur zimbra).

Tapez yes à la question : Trust this certificate?
L’option viewdeploycrt de la commande zmcertmgr permet de s’assurer que le certificat a bien été déployé.

Résultat :

Pour que le nouveau certificat soit pris en charge, Zimbra doit être redémarré.

Un petit peu de ménage et le tour est joué.

The following two tabs change content below.

Gaëtan Trellu (goldyfruit)

Cloud Operations Lead chez Ormuco
Autodidacte en informatique, depuis 2005 je parcours l’écosystème Unix à la recherche de nouvelles connaissances et de nouvelles rencontres.

CC BY 4.0 Certificat SSL gratuit StartSSL et Zimbra par Gaëtan Trellu (goldyfruit) est sous Licence Creative Commons Internationale Attribution 4.0.