Aggiornare certificato SSL Let’s Encrypt su Zimbra Ottobre 2021

Ecco come aggiornare il certificato SSL rilasciato trimestralmente da Let’s Encrypt per Zimbra, secondo il nuovo certificato ISRG Root X1, che modifica di fatto le procedure di aggiornamento rilasciate fino ad oggi.

PASSI PER RINNOVO SSL, versione OTTOBRE 2021

Eseguiamo prima un aggiornamento del sistema, qui uso comandi RedHat:

su root e di seguito uno yum update (per sistemi RedHat e simili).

Ora procediamo all’aggiornamento del certificato SSL:

su - zimbra
su root
certbot certonly --force-renew --preferred-chain "ISRG Root X1" -d mail.iltuodominio.it

Se tutto va bene, seleziona opzione 1 “controllo web” e attendi la creazione e download dei nuovi certificati.

In genere i comandi:
zmproxyctl stop e zmmailboxdctl stop non sono necessari, ho eseguito la creazione e download dei certificati senza fermare alcun servizio, ma se hai problemi di creazione e download dei certificati ferma i due servizi e procedi nuovamente.

Al termine tutti i file stanno in: cd /etc/letsencrypt/live/mail.iltuodominio.it/

cert.pem è il certificato
chain.pem è la catena
fullchain.pem è la concatenazione di cert.pem + chain.pem
privkey.pem è la chiave privata

Tieni presente che la chiave privata è solo per te.

2. Procediamo ora alla preparazione dei file e all’installazione su Zimbra

cp /etc/letsencrypt/live/mail.iltuodominio.it/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key

wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt

cat /tmp/ISRG-X1.pem >> /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

In questo modo abbiamo copiato la chiave privata nella directory di utilizzo si Zimbra e configurato il file con la novità: ISRG-X1

Non ci resta che verificare se la configurazione è corretta e poi rendere effettive le modifiche:

su - zimbra

cd ~

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /etc/letsencrypt/live/mail.iltuodominio.it/cert.pem /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

Se il risultato è corretto, troverete alcune righe con verified e l’ultima con un ok, in breve non ci saranno ne warning e error, possiamo procedere al deploy e al riavvio di Zimbra

3. Deploiamo il tutto in modo definitivo e riavviamo Zimbra

/opt/zimbra/bin/zmcertmgr deploycrt comm /etc/letsencrypt/live/mail.iltuodominio.it/cert.pem /etc/letsencrypt/live/mail.iltuodominio.it/chain.pem

Ci saranno un po’ di attività che durano mediamente circa 30 secondi, alla fine la procedura dovrebbe terminare senza errori. A questo punto riavviamo Zimbra

zmcontrol restart 

Per ogni dubbio e domanda, potete utilizzare lo spazio in basso nei commenti, ad ogni modo la soluzione aggiornata è presente qui: https://blog.zimbra.com/2021/09/zimbra-skilz-how-to-use-zimbra-with-lets-encrypt-certificates/

Felice Balsamo

Classe '75, si dedica alla sua passione di sempre, l’informatica. Inizia la sua attività nel 1998 gestendo un internet provider configurando router CISCO e Modem 33,6 Kbit/s. Dal 2001 si dedica alla realizzazione di servizi web,SOAP,WSDL, DTT (Digitale Terrestre), protocollo MHP per servizi interattivi del digitale terrestre. Dal 2006 cura e gestisce CMS ottimizzati per le attività SEO, si occupa di comunicazione web per aziende e campagne politiche. Dal 2008 al 2012 è Consigliere Nazionale di Assoprovider (www.assoprovider.net), carica ricoperta per 2 mandati consecutivi fino al Maggio 2012. Da Luglio 2011 affianca le attività di comunicazione, informatizzazione, razionalizzazione delle risorse economiche e contrasto all'evasione per il Comune di Napoli curando la delega all'informatizzazione. Seguimi sul mio profilo Facebook: https://www.facebook.com/balsamofelice

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.