Hướng dẫn cài đặt chứng chỉ SSL trên Zimbra Mail Server

Tiếp theo series về Zimbra, trong bài Hướng dẫn cài đặt chứng chỉ SSL trên Zimbra Mail Server này mình sẽ giúp các bạn cài đặt chứng chỉ SSL trên Zimbra Mail Server. Chứng chỉ được sử dụng sẽ do Let’s Encrypt cấp phát.
Không riêng gì máy chủ mail thì hầu hết website hoạt động trên internet đều sẽ cần chứng chỉ số SSL(Secure Sockets Layer), việc này sẽ giúp mã hóa dữ liệu truyền trên internet, từ đó giúp dữ liệu được an toàn hơn rất nhiều.
Ở bài viết này mình sẽ hướng dẫn bạn thực hiện cài đặt chứng chỉ SSL với các lệnh mặc định của Zimbra.

I. Các bước thực hiện

Bước 1: Chuẩn bị chứng chỉ SSL

Với hướng dẫn này mình sẽ lấy chứng chỉ Let's encrypt ở link bên dưới, bạn cũng có thể tải chứng chỉ ở các trang website cung cấp chứng chỉ ssl Let's encrypt khác.

• Link: https://punchsalad.com/ssl-certificate-generator/

Và bạn cần phải có một file chứng chỉ ca root của hãng. Với hãng Let's encrypt bạn tải file chứng chỉ theo lệnh bên dưới:

[root@webmail ~]# wget -O /opt/ssl/chain.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
    

Ở đây mình sẽ tạo thư mục ssl, và upload lên server với đường dẫn: /opt/ssl (Bạn có thể upload file chứng chỉ lên vị trí khác, tuy nhiên cần phải nhớ vị trí đã upload lên).

Bước 2: Upload chứng chỉ lên server

Lưu ý: Trước tiên bạn hãy đặt private key cho chứng chỉ của bạn vào thư mục sau: /opt/zimbra/ssl/zimbra/Commercial/ và File Private key bạn cần phải đặt tên là commercial.key. Nếu bạn đã có upload file Private key lên server rồi thì hãy thay tên file hiện có.

Sau khi đã xong file Private key, bạn upload hai file certificate(.crt) và ca-bundle(.ca-bundle) vào bất kì thư mục nào trên server(Ở bước trên mình đã upload lên thư mục ssl với đường dẫn /opt/ssl). Và bạn có thể thay đổi tên hai file chứng chỉ tuỳ ý. Các file chứng chỉ này bạn lấy ở bước Bước 1.

Tổng sẽ có bốn file chứng chỉ và bạn cần phải phân quyền với user zimbra.

[root@webmail ssl]# ll
total 12
-rw-r--r-- 1 zimbra zimbra 3749 Apr 25 14:36 cert.ca-bundle        #Chứng chỉ trung gian
-rw-r--r-- 1 zimbra zimbra 2183 Apr 25 14:35 cert.crt              #Chứng chỉ certificate
-rw-r--r-- 1 zimbra zimbra 1939 Apr 25 14:49 chain.pem             #Chứng chỉ CA-root

[root@webmail ssl]# ll /opt/zimbra/ssl/zimbra/commercial/
total 4
-rw-r--r-- 1 zimbra zimbra 1705 Apr 26 14:30 commercial.key        #Private key
    

Bước 3: Cài chứng chỉ SSL

Để cài chứng chỉ bạn sử dụng lệnh mặc định của zimbra là zmcertmgr(Công cụ này nằm ở đường dẫn: /opt/zimbra/bin/zmcertmgr).

1. Xác minh chứng chỉ SSL

Đầu tiên bạn gộp hai file cert.ca-bundle và chain.pem lại thành 1 file cert.ca ( và nhớ phần quyền file cert.ca với user zimbra).

[root@webmail ssl]# cat chain.pem cert.ca-bundle >> cert.ca     #Chứng chỉ trung gian + CA-root
[root@webmail ssl]# chown zimbra. cert.ca                       #Phân quyền
    

Tiếp theo bạn chuyển sang user zimbra.(Nếu bạn đang ở user zimbra thì bỏ qua phần này, và thao tác tiếp phần dưới).

[root@webmail ~]# su zimbra
    

Bạn thực hiện xác minh hai file chứng chỉ có phù hợp với private key không bằng cách sử dụng lệnh sau:

zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/ssl/cert.crt /opt/ssl/cert.ca

[zimbra@webmail ssl]$ zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/ssl/cert.crt /opt/ssl/cert.ca
** Verifying '/opt/ssl/cert.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'
Certificate '/opt/ssl/cert.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match.
** Verifying '/opt/ssl/cert.crt' against '/opt/ssl/cert.ca'
Valid certificate chain: /opt/ssl/cert.crt: OK
    

2. Deploy chứng chỉ SSL

Bạn thực hiện deploy với lệnh bên dưới:

[zimbra@webmail ssl]$ zmcertmgr deploycrt comm /opt/ssl/cert.crt /opt/ssl/cert.ca
    

Cuối cùng bạn restart lại các service của zimbra.

[zimbra@webmail ssl]$ zmcontrol restart
    

II. Kiểm tra kết quả

Để kiểm tra bạn có 2 cách kiểm tra như sau:

Cách 1: Kiểm tra bằng công cụ online

Bạn truy cập link bên dưới và điền hostname vào để kiểm tra:

• Link: https://www.sslshopper.com/

Cách 2: Kiểm tra trực tiếp trên giao diện zimbra

Bạn truy cập và login vào zimbra.

• Link: https://hostname:7071

Và tìm tới chức năng cấu hình => chứng chỉ => chuột phải vào hostname => chọn Xem chứng chỉ.

Lưu ý: Nếu bạn thực hiện và báo lỗi system failure: exception executing command. Bạn có thể xem bài hướng dẫn fix lỗi Tại đây

Hy vọng bài viết này sẽ giúp các bạn thiết lập chứng chỉ SSL cho dịch vụ zimbra mail server thành công và thuận lợi.

Nếu các bạn cần hỗ trợ các bạn có thể liên hệ bộ phận hỗ trợ theo các cách bên dưới:

• Hotline 247: 028 888 24768 (Ext 0)
• Ticket/Email: Bạn dùng email đăng ký dịch vụ gửi trực tiếp về: support@azdigi.com.