Khi certificate của bạn đã kích hoạt và có hiệu lực, bạn có thể tiến hành cài đặt SSL trên Zimbra.

Có hai cách để cài đặt một certificate trên Zimbra mail server: cài đặt trong Zimbra Administration Console trên giao diện Web (WebApp) hoặc sử dụng giao diện cmd của Zimbra.

Phương pháp cài đặt phụ thuộc vào nơi CSR cho certificate của bạn được tạo. Nếu CSR không được tạo trên Zimbra, certificate phải được cài đặt thông qua Zimbra Certificate CLI.

Cài đặt certificate trên Zimbra Admin Console

Theo mặc định, truy cập vào trang quản trị của Zimbra bằng URL sau:

https://yourdomain.com:7071

– yourdomain.com là hostname của Zimbra server, thường được chỉ định trong quá trình thiết lập Zimbra ban đầu.

Đăng nhập vào Administration Console bằng thông tin đăng nhập quản trị viên của bạn (username của admin mặc định là admin@yourdomain.com) và làm theo các bước sau:

1. Nhấp vào Configure trong danh sách menu bên trái:

2. Nhấp vào Certificates trong ngăn bên trái, sau đó nhấp vào biểu tượng bánh răng ở trên cùng bên phải và chọn Install Certificate.

3. Chọn servername cần thiết từ menu thả xuống và nhấp vào Next:

4. Chọn Install the commercially signed certificate và nhấp vào Next:

5. Xem lại các chi tiết đã được khai báo để tạo CSR và nhấp vào Next để tiếp tục:

6. Tải file certificate và các CA bundle certificate lên. Certificate (.crt file) và CA bundle có thể được download từ tài khoản SSL của bạn

Lưu ý rằng bản tải xuống sẽ chứa CA bundle certificate trong một file .ca-bundle duy nhất. Bạn có thể lưu thủ công CA certificate thành các file riêng biệt bằng bất kỳ Text editor nào (ví dụ: Notepad hoặc TextEdit);

Ví dụ: CA certificates cho Domain Validation certificates phải được tải lên theo cách sau:

RSA

Root CA: USERTrust RSA Certification Authority [ Cross Signed ]
Intermediate CA: Sectigo RSA Domain Validation Secure Server CA [ Intermediate ]

ECC

Root CA: USERTrust ECC Certification Authority [ Cross Signed ]
Intermediate CA: Sectigo ECC Domain Validation Secure Server CA [ Intermediate ]

Khi các file được tải lên, nhấp vào Next để xác nhận và tiếp tục:

7. Nhấp vào Install để cài đặt certificate. Quá trình này có thể mất vài phút.

8. Sau khi cài đặt certificate hoàn tất, thông báo sau sẽ được hiển thị, xác nhận cài đặt thành công:

9. Đăng nhập Zimbra user với lệnh này (bạn cần phải đăng nhập quyền root để chạy lệnh này – bạn có thể chạy sudo su để chuyển sang root ):

su - zimbra

Khởi động lại dịch vụ để lưu lại các thay đổi bằng sử lệnh bên dưới:

zmcontrol restart

10. Sau khi khởi động lại, bạn có thể kiểm tra certificate đã cài đặt bằng cách vào Configuration >> Certificates >> nhấp vào biểu tượng bánh răng và chọn View Certificate:

11. Cửa sổ sẽ hiển thị certificate và các dịch vụ mà nó đã được cài đặt:

Quá trình cài đặt SSL trên Zimbra sẽ hoàn toàn. Khi đó, Certificate đã được cài đặt cho các dịch vụ sau:

LDAP service: port 389
Mailbox service: ports 8443, 7071
MTA service: ports 25 (SMTP TLS), 465 (SMTP SSL), 7110 (POP3 TLS), 7143 (IMAP TLS), 7993 (IMAP SSL), 7995 (POP3 SSL)
Proxy service: 443, 110 (POP3 TLS), 143 (IMAP TLS), 993 (IMAP SSL), 995 (POP3 SSL).

Cài đặt certificate trên Zimbra certificate CLI

Bạn có thể sử dụng công cụ “zmcertmgr”  để quản lý và cài đặt certificate. Nhưng nên nhớ rằng cần có quyền truy cập SSH vào máy chủ. Để sử dụng công cụ này, đăng nhập quyền root cho phiên bản Zimbra trước 8.7, hoặc các phiên bản từ 8.7 trở lên. Chuyển sang root bằng cách chạy lệnh này:

sudo su

Để chuyển sang zimbra user (dành cho phiên bản Zimbra từ 8.7 trở lên), bạn có thể chạy lệnh này ( đăng nhập bằng quyền root ):

su – zimbra

Vị trí mặc định của công cụ zmcertmgr là / opt / zimbra / bin / zmcertmgr 

Để cài đặt certificate, làm theo các bước sau:

1. Tải certificate(.crt) và CA bundle (.ca-bundle) vào bất kì thư mục nào trên server. Certificate và CA bundle của bạn có thể được download từ tài khoản SSLs.com của bạn. Nếu bạn không tạo CSR cho certificate của mình trên Zimbra, hãy tải lên private key được tạo bằng CSR của bạn.

Đối với ví dụ này, certificate và CA bundle đã được tải lên thư mục / opt /.

Trong tất cả các lệnh khác, hãy thay thế /opt/yourdomain_com.crt và /opt/yourdomain_com.ca-bundle bằng các vị trí và tên file thích hợp.

Lưu ý: CA bundle phải chứa intermediate CA certificates, cũng như root CA certificate. Chúng tôi khuyên bạn nên sử dụng file .ca-pack được tải xuống từ tài khoản của bạn cho mục đích này, vì nó sẽ chứa tất cả các certificate cần thiết.

2. Xác minh rằng certificate phù hợp với private key bằng cách sử dụng lệnh sau:

opt/zimbra/bin/zmcertmgr verifycrt comm  /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/yourdomain_com.crt /opt/yourdomain_com.ca-bundle

3. Triển khai certificate bằng cách chạy lệnh:

/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/yourdomain_com.crt /opt/yourdomain_com.ca-bundle

Khi chạy lệnh thành công, kết quả trả về sẽ giống như sau:

Lưu ý: nếu bạn không tạo CSR trên Zimbra, trước tiên hãy đặt private key cho certificate của bạn vào thư mục sau: / opt / zimbra / ssl / zimbra / Commercial /

File Private key cần được đặt tên là commercial.key. Nếu cần, hãy thay thế file hiện có.

4. Bạn có thể xác minh chi tiết certificate bằng cách chạy lệnh này:

/opt/zimbra/bin/zmcertmgr viewdeployedcrt

Đây là một ví dụ kết quả trả về:

5. Khởi động lại các dịch vụ Zimbra bằng lệnh sau (bạn cần đăng nhập Zimbra user; có thể chuyển sang Zimbra user bằng su – zimbra): 

zmcontrol restart

Điều này sẽ hoàn tất quá trình cài đặt SSL trên zimbra

Theo SSLS.com.