Inicio / Linux / Linux: Cómo instalar certificado SSL en Zimbra (Ubuntu 14.04)

Linux: Cómo instalar certificado SSL en Zimbra (Ubuntu 14.04)

Logo Zimbra

Siguiendo la serie de artículos sobre certificados SSL, hoy os traigo cómo instalar un Certificado SSL en Zimbra de una entidad certificado pública o lo que sería lo mismo de un certificado comercial y no auto-firmado.

Para ponernos en situación y hacer un paso a paso mucho más claro, especificaré el entorno en el que lo vamos a implementar:

  • Servidor de Correo Zimbra 8.6.0._GA
  • Distribución Linux Ubuntu 14.04
  • Certificado SSL de tipo Wildcard
  • Proveedor certificado SSL Comodo

Especifico el proveedor ya que al final del artículo os facilitaré el bundle del certificado SSL más actualizado para Comodo.

Nos conectamos a nuestro servidor de correo Zimbra mediante SSH y ejecutamos con el usuario zimbra el siguiente comando para configurar que todas las conexiones a nuestro servidor deban ser por https.

Reiniciamos:

Nos desplazamos al directorio /opt/zimbra/ssl/zimbra/commercial/

En caso de que no estemos como root, ejecutamos el siguiente comando e introducimos la contraseña (podemos utilizar el comando sudo delante de todas las sentencias, pero como son varias por comodidad…):

Creando el fichero CSR.

Este fichero que vamos a generar tendrá el contenido que debemos proporcionarle a nuestro proveedor de certificados SSL y debe contener los siguientes valores:

  • Common name: El dominio que queremos validar.
    • Si es del tipo Wilcard utilizaremos un asterisco como por ejemplo: *.boscolopez.com
    • Si sólo nos interesa certificar el dominio de nuestro servidor de correo y este es mail.boscolopez.com, pondremos: mail.boscolopez.com
  • Organization: La empresa o nombre a quién se le expide el dominio; por ejemplo: Bosco Lopez
  • Department: El departamento que aparecerá como responsable del certificado, este campo se podría dejar en blanco, aunque yo siempre pongo: Sistemas.
  • City: Ciudad en la que está registrada la compañía o en el caso de persona física donde estás residiendo.
  • Province: Provincia.
  • Country: País
  • Key Size: Tamaño de la clave RSA, por debajo de 2048 se considera insegura.

Generamos el CSR ejecutando el siguiente comando (editar los valores que marco en negrita)

“/C=ES/ST=Madrid/L=Madrid/O=Bosco Lopez/OU=Sistemas/CN=*.boscolopez.com

En este ejemplo estoy creando un CSR para un certificado SSL de tipo Wildcard para todo los subdominios del dominio boscolopez.com

Al ejecutar el comando anterior tendremos el fichero commercial.csr y commercial.key dentro del directorio /opt/zimbra/ssl/zimbra/commercial/.

Ejecutamos un cat sobre el fichero commercial.csr, copiamos el contenido y se lo facilitamos a nuestro proveedor de Certificados SSL.

Nuestro proveedor de certificados SSL, verificará nuestra solicitud o bien enviado un mail a la cuenta de correo admin@boscolopez.com o verificando si hemos colgado en el raíz de nuestro servidor web que tenga publicado el dominio boscolopez.com el contenido de un fichero que nos facilitarán.

Después de esta comprobación nos enviarán por e-mail 4 ficheros normalmente que en el caso de Comodo son:

  • star_boscolopez_com.crt (En caso de haber solicitado un wildcard suelen añadir la palabra star al inicio)
  • AddTrustExternalCARoot.crt
  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt

Yo estos últimos tres ficheros normalmente me olvido de ellos ya que dependiendo de si el proveedor los tiene actualizados o no, podría llegarnos a dar problemas, así que al final os dejaré el fichero completo que forman estos 3 certificados y que se denomina Bundle. (Ojo!! está actualizado a 24/05/2016).

Comenzamos a incluir ficheros dentro de nuestro Zimbra y empezaremos por el certificado, así que abriremos el fichero star_boscolopez_com.crt con un editor de texto y copiaremos su contenido para después pegarlo en el fichero commercial.crt que vamos a crear con el siguiente comando:

El fichero commercial.crt estará ubicado en el directorio /opt/zimbra/ssl/zimbra/commercial/.

Ahora nos faltaría crear el fichero commercial_ca.crt, en el cual, debemos incluir la combinación de los tres ficheros restantes, para Comodo podréis incluir el contenido que os dejo al final como Bundle Comodo SSL.

Llegados a este punto ya podremos ejecutar el último comando antes de reiniciar el servidor para instalar el certificado dentro de nuestro Zimbra:

Si hemos ejecutado todo de forma correcta, nos mostrará al final el mensaje de:

Reiniciamos nuestro servidor y ya tendremos nuestro certificado implementado.

Bundle Comodo (24/05/2016)

 

Sobre Bosco López

/dev/null

Te puede interesar también

Notificaciones de Nagios vía Telegram

En este artículo veremos como configurar nuestro Nagios para que nos informe de las distintas …

6 Comentarios

  1. Buenos dias Bosque excelente el tuto, mi consulta es tu dices se lo damos a nuestro proveedor de certficado, todo esto es de formal gratuita hay que pagar. mira soy novato en esto pero quiero saber mas.
    gracias por todo

  2. hola bosco lopez, genere mi csr por consola web zimbra, tramite mi compra y me dieron los certificados 4 archivos en total:
    AddTrustExternalCARoot
    COMODORSAAddTrustCA
    COMODORSADomainValidationSecureServerCA
    mail_tiendasapolokits_com_pe

    realizo l ainstalalcion x la consola web de zimbra y me marca este error :

    Administración de Zimbra
    El certificado no se ha instalado debido al error : system failure: exception executing command: zmcertmgr verifycrtchain /opt/zimbra/data/tmp/c1cbe41b-9271-42dc-81b7-67f3d1b61bcb/chain_4609c347-f469-4203-8a25-874dd16d4b09 /opt/zimbra/data/tmp/c1cbe41b-9271-42dc-81b7-67f3d1b61bcb/crt_4609c347-f469-4203-8a25-874dd16d4b09 with {RemoteManager: mail.tiendasapolokits.com.pe->zimbra@mail.tiendasapolokits.com.pe:22}

    que debo hacer para corregir este problema, porfavor tu ayuda de antemano , gracias

    • Si haces la petición del certificado vía web la instalación del mismo debe ser vía web. Ya que de lo contrario te puede dar ese tipo de errores.
      Si no solucionas, dímelo y te paso mi contacto de hangout y lo solventamos.

  3. Saludos amigo. soy un novato en servidores de correo, y me ha gustado zimbra y segui el video al pie de la letra y lo logre, yo administro un data center, el punto es que nosotros tenemos un servidor de correo viejo con Postfiex el cual queremos sustituir por Zimbra pero al crear el nuevo le pongo un FQDN diferente para evitar los coflictos… lo logres y todo lo declare en el DNS publico y le llego
    el punto es que al de zimbra no me llegan los correo y a solo recibo esta respuesta Recipient address rejected: User unknown in virtual mailbox table esto es desde cuaquier servidor de correo, desde zimbra si puedo enviar pero no resivir… que puedo hacer si me puedes ayudar te lo agradexco— buen dia

    • Comprueba los punteros MX del dominio y verifica que el nuevo registro A que hace referencia al MX del Zimbra está dando de alta cuando consultas los MX del dominio.
      Si ya has migrado las cuentas de correo, ponle una mayor prioridad al nuevo MX que has asignado al Zimbra (seguramente te está respondiendo el servidor antiguo).

      Si quieres agrégame a HangOut y lo vemos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.