Aller au contenu


Installation certificat Digicert

certificat

  • Veuillez vous connecter pour répondre
10 réponses à ce sujet

#1 prefect2

prefect2

    Membre

  • Membres
  • 23 messages

Posté 23 mai 2018 - 14:16

Bonjour,
j'essaie d'installer un certificat Digicert sur Zimbra 8.7.0.

J'ai généré le fichier .csr comme ceci :
openssl req -newkey rsa:2048 -keyout host.votredomaine.fr.key -out host.votredomaine.fr.csr -nodes -subj "/C=FR/O=mondomaine/OU=monou/CN=host.votredomaine.fr/"

Fichier que j'ai transmis à Digicert.

Digicert m'a fourni :
DigiCertCA.crt
monnomdedomaine.crt

Sur les différents tuto que j'ai trouvés :
https://warkirasep.w...n-instructions/
https://www.digicert...tion-zimbra.htm
https://wiki.zimbra....al_certificates

On me parle de TrustedRoot.crt. Ce fichier est-il toujours nécessaire . A-t-il été omis par Digicert ?
Peut-être avez-vous une meilleure procédure à suivre ?

Je vous remercie pour votre aide.

Modifié par prefect2, 29 mai 2018 - 14:11.


#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 23 mai 2018 - 22:06

Bonsoir,

c'est quoi le problème sinon ? Et pour la doc : https://wiki.zimbra....rtificate_Tools
C'est valable pour la version 8.7 (à quelques ajustements près)

  Cordialement,

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#3 prefect2

prefect2

    Membre

  • Membres
  • 23 messages

Posté 29 mai 2018 - 14:08

Je te remercie pour ta réponse.
J'ai suivi la doc que tu m'as donnée en lien.
J'obtiens ces erreurs :
(même après avoir supprimé commercial_ca.crt - un ancien fichier qui était déjà présent ici)

zimbra@clara:~/ssl/zimbra/commercial$ /opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt
** Verifying '/tmp/commercial.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'
Certificate '/tmp/commercial.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match.
** Verifying '/tmp/commercial.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt'
ERROR: Can't read file '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt'

zimbra@clara:/tmp$ /opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/ca_chain.crt
** Fixing newlines in '/tmp/commercial.crt'
** Fixing newlines in '/tmp/ca_chain.crt'
** Verifying '/tmp/commercial.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'
Certificate '/tmp/commercial.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match.
** Verifying '/tmp/commercial.crt' against '/tmp/ca_chain.crt'
ERROR: Unable to validate certificate chain: /tmp/commercial.crt: C = NL, ST = Noord-Holland, L = Amsterdam, O = TERENA, CN = TERENA SSL CA 3
error 2 at 1 depth lookup:unable to get issuer certificate



Pour info, si ça peut vous mettre sur la voie, voici ce que j'obtiens quand je regarde les certificats actuellement déployés :
zimbra@clara:/tmp$ /opt/zimbra/bin/zmcertmgr viewdeployedcrt
- ldap: /opt/zimbra/conf/slapd.crt
notBefore=Dec 20 23:27:12 2014 GMT
notAfter=Dec 19 23:27:12 2019 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
SubjectAltName=
- mailboxd: /opt/zimbra/mailboxd/etc/mailboxd.pem
notBefore=Dec 20 23:27:12 2014 GMT
notAfter=Dec 19 23:27:12 2019 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
SubjectAltName=
- mta: /opt/zimbra/conf/smtpd.crt
notBefore=Dec 20 23:27:12 2014 GMT
notAfter=Dec 19 23:27:12 2019 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
SubjectAltName=
- proxy: /opt/zimbra/conf/nginx.crt
notBefore=Dec 20 23:27:12 2014 GMT
notAfter=Dec 19 23:27:12 2019 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=monserveur
SubjectAltName=


Merci pour votre aide.

#4 Nicolas Bonnissol

Nicolas Bonnissol

    Membre débutant

  • Membres
  • 8 messages

Posté 30 mai 2018 - 09:22

Bonjour,

  Il me semble voir deux problèmes distincts :
1 - il ne trouve pas le fichier '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt' (ou les permissions ne permettent pas à l'utilisateur avec lequel tu lances la commande de vérification de le lire)
2 - les roots CA ne sont pas correctement copiés dans '/tmp/ca_chain.crt'

J'espère que ces pistes t'aideront...

Cordialement,

Nico
____________________
Zimbra Network edition 8.7.11_GA_1854
Zimbra OSE 8.8.8_GA_1703
Ubuntu 10.04 LTS
Ubuntu 16.04 LTS

#5 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 30 mai 2018 - 09:29

Cette erreur :
ERROR: Can't read file '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt'

c'est pas du tout normal. Problème de droit ou propriétaire.

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#6 prefect2

prefect2

    Membre

  • Membres
  • 23 messages

Posté 30 mai 2018 - 13:53

Merci pour vos réponses.
Comme je le disais plus haut, commercial_ca.crt était déjà présent dans le répertoire /opt/zimbra/ssl/zimbra/commercial/.
Je ne sais pas ce que c'est. Il ne doit plus être utilisé.

Malgré le fait que je l'ai supprimé j'ai encore ce message comme quoi il ne peut pas lire le fichier. Ce n'est pas un problème de droits.
Comment faire pour que Zimbra n'essaie plus d'accéder à ce certificat ?

Concernant l'autre point,
Digicert m'a fourni :
DigiCertCA.crt
monnomdedomaine.crt

En suivant le tutoriel, j'ai renommé monnomdedomaine.crt en commercial.crt et DigiCertCA.crt en ca_chain.crt. (Je n'ai pas de certificats intermédiaires ni de trustedroot.crt.)

Je pense également qu'il y a un problème avec ce fichier mais je ne sais pas comment le construire autrement.

#7 Nicolas Bonnissol

Nicolas Bonnissol

    Membre débutant

  • Membres
  • 8 messages

Posté 01 juin 2018 - 11:33

Citation

Malgré le fait que je l'ai supprimé j'ai encore ce message comme quoi il ne peut pas lire le fichier

Justement, puisque tu l'as supprimé...

Je pense qu'il faut coller le contenu de "DigiCertCA.crt" puis de "monnomdedomaine.crt" (avec un saut de ligne entre les deux) dans "/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt" pour concaténer les root avec ton propre certificat...
____________________
Zimbra Network edition 8.7.11_GA_1854
Zimbra OSE 8.8.8_GA_1703
Ubuntu 10.04 LTS
Ubuntu 16.04 LTS

#8 prefect2

prefect2

    Membre

  • Membres
  • 23 messages

Posté 01 juin 2018 - 13:22

Merci pour ton aide Nicolas .
J'ai déjà fait ceci avec commercial.crt (comme indiqué dans le tutoriel au-dessus).
Le fichier commercial_ca.crt n'est mentionné nulle part. C'est certainement un résidu d'une ancienne installation de certificat.

#9 prefect2

prefect2

    Membre

  • Membres
  • 23 messages

Posté 06 juin 2018 - 13:50

J'ai réussi à me débrouiller et tout est OK quand j'accède à la page webmail de mon serveur Zimbra par son nom... Cependant, les gens sont habitués à utiliser son alias "webmail" et le certificat ne fonctionne pas sur l'alias...
Vous avez une idée de comment je peux contourner ce problème ?

#10 Nicolas Bonnissol

Nicolas Bonnissol

    Membre débutant

  • Membres
  • 8 messages

Posté 06 juin 2018 - 14:42

Il te faut un certificat wildcard (fonctionnant avec tous les sous-domaines) ou un SAN (ou multi-domaine chez Digicert) pour pouvoir utiliser différents noms sur une même machine...
____________________
Zimbra Network edition 8.7.11_GA_1854
Zimbra OSE 8.8.8_GA_1703
Ubuntu 10.04 LTS
Ubuntu 16.04 LTS

#11 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 297 messages
  • LocalisationBeaucaire - Gard

Posté 12 juin 2018 - 12:49

Ou, sous 8.8.x, utiliser la fonctionnalité SNI (enfin intégrée dans zimbra-proxy) et définir un vHost pour le domaine.





Aussi étiqueté avec au moins un de ces mots-clés : certificat

0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)