Aggiornare certificato SSL Let’s Encrypt su Zimbra Febbraio 2022

Ecco come aggiornare il certificato SSL rilasciato trimestralmente da Let’s Encrypt per Zimbra, secondo il nuovo certificato ISRG Root X1, che modifica di fatto le procedure di aggiornamento rilasciate fino ad oggi (Febbraio 2022)

PASSI PER RINNOVO SSL, versione FEBBRAIO 2022

Eseguiamo prima un aggiornamento del sistema, qui uso comandi RedHat:

su root 

e di seguito per sistemi RedHat e simili).
Qui invece il mio post se volete convertire CentOS o Oracle Linux a RedHat

yum update 

Oppure per sistemi Ubuntu:

apt-get update

Fermiamo i servizi Proxy e mailbox si Zimbra. In questo modo non fermiamo la ricezione delle email e tutti gli altri servizi.

su - zimbra
zmproxyctl stop
zmmailboxdctl stop

Ora procediamo all’aggiornamento del certificato SSL:

su root
certbot certonly --force-renew --preferred-chain "ISRG Root X1" -d mail.iltuodominio.it

Se tutto va bene, seleziona opzione 1 “controllo web” e attendi la creazione e download dei nuovi certificati.

Al termine tutti i file stanno in: cd /etc/letsencrypt/live/mail.iltuodominio.it/

cert.pem è il certificato
chain.pem è la catena
fullchain.pem è la concatenazione di cert.pem + chain.pem
privkey.pem è la chiave privata

Tieni presente che la chiave privata è riservata.

2. Procediamo ora alla preparazione dei file e all’installazione su Zimbra

cp /etc/letsencrypt/live/mail.iltuodominio.it/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key

wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt

cat /tmp/ISRG-X1.pem >> /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

In questo modo abbiamo copiato la chiave privata nella directory di utilizzo si Zimbra e configurato il file con la novità: ISRG-X1

Controlliamo che Zimbra possa accedere alle cartelle live e achive di Let’s Encrypt

chown zimbra:zimbra -r /etc/letsencrypt/live/mail.iltuodominio.it/live
chown zimbra:zimbra -r /etc/letsencrypt/live/mail.iltuodominio.it/archive

Non ci resta che verificare se la configurazione è corretta e poi rendere effettive le modifiche:

su - zimbra

cd ~

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /etc/letsencrypt/live/mail.iltuodominio.it/cert.pem /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

Se il risultato è corretto, troverete alcune righe con verified e l’ultima con un ok, in breve non ci saranno ne warning e error, possiamo procedere al deploy e al riavvio di Zimbra

3. Deploiamo il tutto in modo definitivo e riavviamo Zimbra

/opt/zimbra/bin/zmcertmgr deploycrt comm /etc/letsencrypt/live/mail.iltuodominio.it/cert.pem /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

Ci saranno un po’ di attività che durano mediamente circa 30 secondi, alla fine la procedura dovrebbe terminare senza errori. A questo punto riavviamo Zimbra

zmcontrol restart 

Per ogni dubbio e domanda, potete utilizzare lo spazio in basso nei commenti, ad ogni modo la soluzione aggiornata è presente qui: https://blog.zimbra.com/2021/09/zimbra-skilz-how-to-use-zimbra-with-lets-encrypt-certificates/

Felice Balsamo

Classe '75, si dedica alla sua passione di sempre, l’informatica. Inizia la sua attività nel 1998 gestendo un internet provider configurando router CISCO e Modem 33,6 Kbit/s. Dal 2001 si dedica alla realizzazione di servizi web,SOAP,WSDL, DTT (Digitale Terrestre), protocollo MHP per servizi interattivi del digitale terrestre. Dal 2006 cura e gestisce CMS ottimizzati per le attività SEO, si occupa di comunicazione web per aziende e campagne politiche. Dal 2008 al 2012 è Consigliere Nazionale di Assoprovider (www.assoprovider.net), carica ricoperta per 2 mandati consecutivi fino al Maggio 2012. Da Luglio 2011 affianca le attività di comunicazione, informatizzazione, razionalizzazione delle risorse economiche e contrasto all'evasione per il Comune di Napoli curando la delega all'informatizzazione. Seguimi sul mio profilo Facebook: https://www.facebook.com/balsamofelice

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.