Aller au contenu


Problème de certificat avec le SMTP sécurisé de Zimbra

Certificat SSL SMTP sécurisé

  • Veuillez vous connecter pour répondre
14 réponses à ce sujet

#1 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 12 octobre 2020 - 15:02

Bonjour à tous.

Depuis le remplacement du certificat SSL de notre messagerie, certains utilisateurs ont des alertes sur leurs clients de messagerie.
Le certificat est bien reconnu comme valide mais ne correspondrait pas au nom de domaine du serveur...
Par ex, un Outlook qui répond "Le nom principal de la cible n'est pas correct".
Ou encore un Gmail sur un smartphone qui dit que "Le certificat a été modifié. Contactez votre fournisseur de messagerie à propos de cette erreur ..."
Aucun problème par contre au niveau du webmail quelque soit le navigateur.

Petite subtilité :
L'ancien certificat couvrait le domaine mail.mondomaine.fr alors que le nouveau est un Wildcard qui couvre *.mondomaine.fr

J'ai tenté la procédure via Zimbra Admin, suivi la procédure en ligne de commande et vérifié les différents fichiers crt avec le fournisseur du certificat.
Rien n'y fait. Certains utilisateurs rencontrent encore et toujours la même erreur.

Quelqu'un aurait une piste ?

Merci
Alain
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 757 messages
  • LocalisationPlanète Terre

Posté 12 octobre 2020 - 21:07

Faudrait voir ici : https://www.ssllabs.com/ssltest
Ensuite, est-ce qu'une config de poste de travail qui n'a jamais été paramétré avec ce certificat renvoie le même message ?

A+
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#3 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 13 octobre 2020 - 07:33

Effectivement, c'est peut-être une coïncidence mais hier soir, en installant une mouture toute fraiche d'Outlook sur un poste qui rencontrait le problème avec Thunderbird, aucune erreur de certificat !
Il y aurait un "cache SSL" sur les machines ?

Le résultat du test :
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.
This server accepts RC4 cipher, but only with older protocols. Grade capped to B.
This server supports TLS 1.0 and TLS 1.1. Grade capped to B.
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#4 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 447 messages
  • LocalisationPlaisians - Drôme

Posté 13 octobre 2020 - 08:50

Je pense que le problème c'est effectivement le FQDN qui est dans le certificat.

Postfix n'est pas capable de gérer plusieurs certificats SSL (contrairement à nginx).
Le seul certificat qu'il connaisse, c'est celui "par défaut" du serveur : soit l'autosigné généré à l'install, soit un certificat signé au nom du serveur qu'on installe manuellement.

Du coup, si on ajoute des domaines et des certificats pour les domaines, postfix ne les connait pas (nginx uniquement), genre webmail.domain.tld.
Et si on utilise "webmail.domain.tld" comme FQDN pour configurer son client SMTP, on a une erreur de nom de certificat.

Ton wildcard, tu l'as installé en tant que certificat "du domaine" ou du serveur complet ?

#5 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 13 octobre 2020 - 09:01

Je n'ai qu'un domaine géré sur mon serveur. J'avoue ne pas savoir répondre à ta question sur l'installation du certificat en tant que domaine ou serveur complet...
J'ai suivi une procédure d'install du certificat en ligne de commande puisque, via l'interface graphique, j'avais des erreurs d'upload des fichiers.

Ci-dessous les étapes que j'ai suivies:

Création du CSR
/opt/zimbra/bin/zmcertmgr createcsr comm -new -subject "/C=FR/ST=Pas-de-Calais/L=BOULOGNE SUR MER/O=MON ORGANISATION/CN=*.mondomaine.fr"


Import des fichiers commercial.crt et commercial_ca.crt générés sur la base du CSR

Test des fichiers importés
[root@SRV-MESSAGERIE ~]# /opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
** Verifying /opt/zimbra/ssl/zimbra/commercial/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/opt/zimbra/ssl/zimbra/commercial/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /opt/zimbra/ssl/zimbra/commercial/commercial.crt: OK

Déploiement du certificat
[root@SRV-MESSAGERIE ~]# /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Redémarrage des services Zimbra
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#6 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 447 messages
  • LocalisationPlaisians - Drôme

Posté 13 octobre 2020 - 09:26

C'est une installation "serveur".

Les clients SMTP qui remontent l'erreur sont bien configurés avec quelque chose qui est dans le domaine (server.mondomaine.fr) ?
Ils n'utilisent pas l'IP du serveur ou un nom en dehors de "mondomaine.fr" ?

#7 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 13 octobre 2020 - 10:32

Oui. Les clients sont bien configurés avec l'hôte mail.mondomaine.fr
Le pb ne se produit pas sur tous les postes, même si ce sont des clients identiques. C'est pour ça que je posais la question d'un cache quelconque.

Apparemment, en investiguant, il y a également des soucis de lenteur de récupération des mails ou d'échec lors de l'écriture en IMAP dans le dossier "Envoyés".
Le message part bien mais aucune copie du message n'est écrite sur serveur...

Peut-être un problème de ressources, non ?
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#8 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 447 messages
  • LocalisationPlaisians - Drôme

Posté 13 octobre 2020 - 16:37

Difficile de répondre comme ça.

Le serveur ZCS n'est pas dans une version à jour, on ne connait pas la conf de la VM (ou du serveur), le nombre de client, comment ils se connectent (fibre, 3G, autre), la taille des boites qui ont des soucis, etc.

Outlook qui râle sur le SMTP ça pourrait aussi être un proxy SMTP local d'antivirus qui fait son intéressant (s'il y a ce genre de truc installé).

#9 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 14 octobre 2020 - 15:27

Effectivement, voici un peu plus d'info :
  • Nombre de boîtes mail : 277
  • Pour la VM : 2 CPU / 4 Go RAM
  • Pour la connexion, c'est assez variable mais sur le smartphone, l'erreur se produisait que ce soit en 4G ou sur le Wifi Pro (100Mb/s).
  • Pour la taille des boîtes, j'ai le cas sur une boîte de 500Go (qui reste un des volumes les plus bas du parc).
Au niveau ressources, la VM n'est jamais à la ramasse.
Les logs sur le dernier mois n'indiquent aucun pic de mémoire au dessus de 2Mo et une utilisation CPU qui oscille entre 10 et 40%.

Je prévois la migration sous peu (d'ici la fin du mois, j'espère) en version 9 payante pour avoir accès au support Zimbra.
J'espère que ce sera la clé de la résolution de tous mes problèmes.
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#10 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 447 messages
  • LocalisationPlaisians - Drôme

Posté 14 octobre 2020 - 17:56

Je déconseille la version 9 pour le moment (c'est joli mais pas tout à fait sec).

La VM me parait légère au niveau RAM.
Certes, on est dans les "specs officielles" mais pour >250 users, de l'IMAP et les mails entrants/sortants qui vont avec, c'est pas assez.
Attention, ajouter de la RAM ne suffit pas, il faut reconfigurer java et mysql pour qu'ils en tirent partie.

SI on peut éviter IMAP (utilisation du webmail pour les gens dans les bureaux, ActiveSync pour les smartphones), c'est vraiment mieux parce que c'est ce qui charge le plus le serveur (avec le filtrage des mails).
Par contre c'est vrai que pour ActiveSync, il faut une Network Edition ou ZeXtras. Ou Z-push, pas besoin de licence...

#11 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 757 messages
  • LocalisationPlanète Terre

Posté 14 octobre 2020 - 20:23

4 Go de RAM pour une version 8.8 et 9.0, la VM fera pchitt (true life), c'est mini maintenant 8 Go.
Pour le reste, sans log, sans prise en main sur les postes qui posent problèmes, c'est difficile de savoir.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#12 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 15 octobre 2020 - 09:02

Merci à tous les 2 pour votre contribution.
Pour Zimbra, je vais temporiser et mettre à jour en version 8 dernière mouture et en licence Network.
Pour la mise à jour, une migration de la config existante sur un nouveau serveur avec 8Go de RAM ferait l'affaire ?
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#13 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 757 messages
  • LocalisationPlanète Terre

Posté 15 octobre 2020 - 11:25

C'est pas une VM la machine historique ?
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr
http://www.scalesi.fr/

#14 AlainCAB

AlainCAB

    Membre

  • Membres
  • 17 messages

Posté 15 octobre 2020 - 13:33

Oui, on passe d'une VM à une VM.
Alain H.
Zimbra 8.6.0 GA 1242 / CentOS Linux release 7.6.1810

#15 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 447 messages
  • LocalisationPlaisians - Drôme

Posté 15 octobre 2020 - 17:55

Installer une VM toute neuve (4 vCPU, 8 GB de RAM) en 8.8.15-lastpatch, éventuellement en NE (activer la licence, vérifier que tout fonctionne, en particulier le Backup-NG, installer le certificat wildcard, etc).
Installer ZeXtras Suite sur la vieille VM.
Utiliser ZeXtras Suite pour exporter un backup full vers un volume dédié.
Démonter le volume de l'ancienne VM et la stopper.
Monter le volume sur la nouvelle VM et l'importer (import de backup externe) via le Backup-NG.
Ca va créer les domaines, les comptes, les aliases, les DL, etc. Puis importer le contenu des comptes.
Et voilà.

Ca permet de récupérer toute la configuration "utilisateurs" de l'ancienne VM (contenu des comptes, partages, signatures, etc).

Ou en profiter pour tout passer en SaaS 8-)




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)