Per installare un certificato su Zimbra è possibile utilizzare l’interfaccia di amministrazione, come specificato in molte guide, ma in molti casi non è possibile completare l’installazione perchè si potrebbero ricevere errori di funzionamento, ad esempio:

Il certificato non è stato installato a causa di un errore : system failure: exception executing command: zmcertmgr verifycrtkey comm /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current_comm.key  /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current.crt with {RemoteManager: zimbra.****.it->zimbra@zimbra.***.it:22}

In questa rapida guida vediamo come installare (anche in caso di rinnovo) un certificato su zimbra a riga di comando. Innanzi tutto è necessario preparare il materiale: dobbiamo disporre di 4 files:

• Certificato di Root (.crt)
• Certificato Intermedio (.crt)
• Private.key (.key)
• Certificato “ufficiale” (.crt)

Scritti “così” sembrano un “pasticcio” ma vi posso grantire che i file necessari sono 4. Tutti i files, tranne il private.key devono essere nel formato .CRT pertanto se disponiamo solo di file .CER dobbiamo provvedere alla conversione.

Per la conversione è disponibile un tools sotto linux….ma se preferiamo fare tutto con componenti “Online” ho identificato due siti web “potenzialmente utili”. Considerando che il file .CER può essere di tipo : pem, der, p7b, and pfx …. dobbiamo prima capire in quale di questi formati è fatto.
Questo sito web : https://www.sslchecker.com/ssl_converter (che per me non è “riuscito” a fare la conversione, forse per un problema temporaneo) è molto utile per “identificare il tipo” del file .CER.
Quando conosciamo il tipo (es. “Der”) possiamo convertire con qualsiasi altro convertitore, ad esempio: https://www.sslshopper.com/ssl-converter.html
Ovviamente la nostra conversione “mira” a convertire verso “Standard PEM” e quindi in formato .CRT

Il formato .CRT è facilmente “modificabile” anche da editor.
Una volta convertito il file possiamo aprirlo con un editor e vederlo nel formato (esempio):

—–BEGIN RSA PRIVATE KEY—–
MIIEowIBAAKCAQEAz0X……

Quando avremo tutti i file convertiti a .CRT possiamo procedere con l’installazione su Zimbra.
La cartella in cui bisogna lavorare (come root) è : /opt/zimbra/ssl/zimbra/commercial/
Dobbiamo creare (o sostituire) il file : commercial.crt e il suo contenuto deve essere quello del “Certificato ufficiale” (si può fare copia-incolla su VI)

Dobbiamo creare (o sostituire) il file : commercial.key e il suo contenuto deve essere quello del “Private Key” (si può fare copia-incolla su VI)

Successivamente bisogna creare, sempre nella stessa cartella, un file : commercial_ca.crt
All’interno di questo singolo file dobbiamo copia-incollare 2 file : Certificato Intermedio e successivamente il Certificato di Root. Per fare un esempio:

—–BEGIN CERTIFICATE—–
CA intermedia secondaria
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
CA principale
—–END CERTIFICATE—– 

A questo punto possiamo avviare il comando:
opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt
che effettuerà una verifica di correttezza di entrambi i files. Se abbiamo sbagliato qualcosa, ad esempio non abbiamo copiato anche il commercial.key, riceveremo un errore simile a:

** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
unable to load certificate
140304101840544:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
XXXXX ERROR: Unmatching certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) pair.
XXXXX ERROR: provided cert isn’t valid.

se invece abbiamo ricevuto “OK” possiamo procedere all’installazione del certificato con il comando:

/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt
(ovviamente il comando deve essere avviato dalla cartella : /opt/zimbra/ssl/zimbra/commercial/)

Il sistema effettuerà alcuni aggiornamenti, ecco un esempio del rapporto riportato di seguito:

** Copying commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
cp: `commercial.crt’ and `/opt/zimbra/ssl/zimbra/commercial/commercial.crt’ are the same file
** Appending ca chain commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
cp: `commercial_ca.crt’ and `/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt’ are the same file
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca…done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate…done.
** Saving server config key zimbraSSLPrivateKey…done.
** Installing mta certificate and key…done.
** Installing slapd certificate and key…done.
** Installing proxy certificate and key…done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12…done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore…done.
** Installing CA to /opt/zimbra/conf/ca…done.

A questo punto sarà sufficiente riavviare zimbra.
Accedere con l’utente dedicato di zimbra : su – zimbra

Riavviare il sistema con : zmcontrol restart
Attenzione : questo comando riavvia tutti i servizi (Antvirus, Mailbox, ecc.) e potrebbe impiegare alcuni minuti.

E’ possibile verificare il certificato installato con :
https://www.ssl2buy.com/wiki/ssl-installation-checker/

Siti web che mi sono stati “utili”:

• https://www.andreabonacina.it/2015/04/installazione-certificato-ssl-su-zimbra/

Installazione certificato Zimbra, certificato Zimbra, rinnovo certificato Zimbra, come installare un certificato su Zimbra, certificato SSL Zimbra, installare file CRT Zimbra, SSL Zimbra, modifica certificato Zimbra