Aller au contenu


Synchronisation entre deux serveurs zimbra bloquée à cause du certificat SSL

synchronisation zimbra certificat ssl

  • Veuillez vous connecter pour répondre
17 réponses à ce sujet

#1 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 14 septembre 2016 - 16:22

Bonjour à tous

Je souhaite synchroniser des calendriers entre deux serveurs zimbra.
Depuis un compte de l'un des serveurs, je fais :
- Ajouter un calendrier externe
- Autre
- Type : abonnement ICAL
- Je colle l'url ICS récupérée depuis un compte de l'autre serveur zimbra
- Je donne un nom au calendrier et je valide

et j'obtiens le message d'erreur : l'url suivante n'est pas disponible actuellement

J'ai essayé de charger l'url indiquée en ligne de commande sur le serveur destination avec un GET.

J'obtiens le message d'erreur :
Can't connect to zimbra.mondomaine.com:443 (certificate verify failed)

LWP::Protocol::https::Socket: SSL connect attempt failed with unknown error error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at /usr/share/perl5/LWP/Protocol/http.pm line 41.

Donc le problème semble venir de la validité du certificat SSL.
Effectivement aucun des deux serveurs zimbra n'a de certificat  ssl validé , ils sont tous les deux auto-signés.
Y a t'il un moyen dans zimbra de forcer l'acceptation d'un certificat considéré comme suspect comme on le fait dans un navigateur lorsque l'on est certain de la sécurité du serveur source ?
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 4 930 messages
  • LocalisationPlanète Terre

Posté 14 septembre 2016 - 16:56

Il faut importer les certificats dans les keystores Zimbra afin qu'ils se fassent confiance mutuellement.
Guy Carré, professionel certifié de Zimbra, Contributeur Zimbra
tel : (+33) 2 47 66 60 11 / mail : guy@netixia.fr
https://myzimbra.net / http://www.yaziba.net / http://www.netixia.fr / http://blog.yaziba.net/

#3 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 15 septembre 2016 - 15:55

Bonjour et merci pour cette réponse.
Où se trouve ces keystores et comment importer un certificat dedans ?
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#4 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 4 930 messages
  • LocalisationPlanète Terre

Posté 16 septembre 2016 - 08:23

commande keypass et zmlocalconfig pour trouver l'emplacement du keystore.
Guy Carré, professionel certifié de Zimbra, Contributeur Zimbra
tel : (+33) 2 47 66 60 11 / mail : guy@netixia.fr
https://myzimbra.net / http://www.yaziba.net / http://www.netixia.fr / http://blog.yaziba.net/

#5 vdagost

vdagost

    Membre expérimenté

  • Membres
  • PipPipPip
  • 424 messages
  • LocalisationLyon

Posté 18 septembre 2016 - 16:09

Le keystore est un outil java classique (le serveur de bal zimbra étant en java) :
https://www.digitalo...-java-keystores
Zimbra 8.7.1 OSS + Zextras
RHEL 6
8000 utilisateurs

#6 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 4 930 messages
  • LocalisationPlanète Terre

Posté 20 septembre 2016 - 09:22

Ah oui, je me suis trompé. Keepass c'est pour mes mots de passe à moi :D
C'est la commande keytool qu'il faut utiliser.
Guy Carré, professionel certifié de Zimbra, Contributeur Zimbra
tel : (+33) 2 47 66 60 11 / mail : guy@netixia.fr
https://myzimbra.net / http://www.yaziba.net / http://www.netixia.fr / http://blog.yaziba.net/

#7 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 20 septembre 2016 - 10:04

Merci beaucoup pour vos réponses.
Je suis en train d'étudier le fonctionnement de la commande keytool, pour voir comment ajouter le certificat du second serveur dans le keystore.
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#8 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 502 messages
  • LocalisationRouen, France

Posté 26 septembre 2016 - 09:11

Pour les importer tu pourras te référer a cette documentation :
https://wiki.zimbra....rtificate_Tools
Ce qui donnera pour toi :
/opt/zimbra/j2sdk-20140721/bin/keytool -import -alias otherzimbra -keystore /opt/zimbra/java/jre/lib/security/cacerts -import -trustcacerts -file your-exported-cert.cer
___
Senior Solution Advisor EMEA chez Vade Secure

#9 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 26 septembre 2016 - 17:07

Merci beaucoup Wolfy c'est justement le choix des options de keytool qui me posait problème.
Par contre quand je tape la ligne de commande, adaptée à mes fichiers, le système me demande "Entrez le mot de passe du fichier de clés"
Le problème c'est que je ne connais pas ce mot de passe.

J'ai fouillé un peur dans les docs de zimbra et j'ai trouvé cette page : https://wiki.zimbra....tificates_Guide
Mais cette page ne semble pas correspondre à ma version de zimbra.
La première possibilité serait que le mot de passe soir zimbra, mais c'est pour les versions avant la 4.5.6
La deuxième solution proposée pour les versions ultérieures est de récupérer le mot de passe avec zmlocalconfig -s -m nokey tomcat_keystore_password
mais tomcat_keystore_password n'existe pas.
Il est aussi proposé de modifier le mot de passe avec
# zmlocalconfig -e tomcat_keystore_password=zimbra
# tomcat restart
mais si la première ligne de commande fonctionne, la deuxième non, car la commande tomcat n'existe pas.
J'ai donc tenté un locate tomcat pour repérer son emplacement, mais cette commande est introuvable, que je soit zimbra ou root.

Je suis donc à nouveau bloqué, alors que je pense approcher du but.
Quelqu'un peut-il m'indiquer comment trouver ou modifier ce mot de passe du keystore sur la version 8.6.0 ?
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#10 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 502 messages
  • LocalisationRouen, France

Posté 26 septembre 2016 - 20:49

La commande ne fonctionnera pas car ZImbra n'utilise plus tomcat depuis bientot 5 ans.
le mot de passe par défaut du keystore de Zimbra est bien noté dans la page que tu as mentionné. En effet il n'as pas changé depuis longtemps et est "changeit"
___
Senior Solution Advisor EMEA chez Vade Secure

#11 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 27 septembre 2016 - 11:41

Merci encore Wolfy
Dans la description des lignes de commande je n'avais pas compris que changeit était le mot de passe par défaut.
Grâce à tes indications, j'ai enfin pu importer le certificat de mon deuxième serveur.
J'ai aussitôt essayé d'importer le fichier ics d'un serveur vers l'autre mais malheureusement j'obtiens toujours le même message d'erreur : l'url suivante n'est pas disponible actuellement.
J'ai pensé que l'importation du certificat n'était peut-être pas encore active et j'ai donc rebooté mon serveur avant de refaire la manip, mais le résultat reste le même.
J'ai à nouveau tenté de charger le fichier ICS en ligne de commande avec un GET mais je reçois toujours le message :
Can't connect to monserveurzimbra:443 (certificate verify failed)

SSL connect attempt failed error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at /usr/share/perl5/LWP/Protocol/http.pm line 49.

Je commence à désespérer d'arriver à mes fins...
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#12 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 4 930 messages
  • LocalisationPlanète Terre

Posté 27 septembre 2016 - 14:50

Faut désactiver le SSLv3
Guy Carré, professionel certifié de Zimbra, Contributeur Zimbra
tel : (+33) 2 47 66 60 11 / mail : guy@netixia.fr
https://myzimbra.net / http://www.yaziba.net / http://www.netixia.fr / http://blog.yaziba.net/

#13 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 502 messages
  • LocalisationRouen, France

Posté 27 septembre 2016 - 14:52

Effectivement, tu peux trouver les documentations ici :
https://wiki.zimbra....o_disable_SSLv3
___
Senior Solution Advisor EMEA chez Vade Secure

#14 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 28 septembre 2016 - 10:13

D'après la page indiquée, SSLv3 est désactivé par défaut pour la version 8.6.0.
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#15 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 4 930 messages
  • LocalisationPlanète Terre

Posté 28 septembre 2016 - 10:31

Sur des fresh install, mais sur des upgrades successives ils arrivent que les anciens paramètres soient conservés.
Guy Carré, professionel certifié de Zimbra, Contributeur Zimbra
tel : (+33) 2 47 66 60 11 / mail : guy@netixia.fr
https://myzimbra.net / http://www.yaziba.net / http://www.netixia.fr / http://blog.yaziba.net/

#16 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 502 messages
  • LocalisationRouen, France

Posté 28 septembre 2016 - 10:49

tu peut vérifier avec la commande suivante :
openssl s_client -servername serveur_zimbra.local -connect IP:443 -ssl3
___
Senior Solution Advisor EMEA chez Vade Secure

#17 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 28 septembre 2016 - 16:54

J'ai testé mon serveur à partir de cette page https://www.ssllabs....test/index.html
et ssl 2 et 3 sont bien désactivés.
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25

#18 Media

Media

    Membre

  • Membres
  • 20 messages

Posté 03 octobre 2016 - 11:20

Il y a une chose que je n'avais pas encore testée, c'est d'importer un calendrier externe provenant du même serveur et même dans ce cas, j'ai exactement la même erreur : l'url suivante n'est pas disponible actuellement

alors que dans ce cas, le serveur devrait reconnaitre son propre certificat...
J'en arrive à penser que cette erreur n'est peut-être pas liée aux certificats, mais alors je ne vois plus aucune solution pour importer partager un calendrier avec le fichier ICS.
Version Zimbra : 8.6.0_GA_1153.FOSS
Serveurs : 1
Comptes : 147
Domaines : 25





Aussi étiqueté avec au moins un de ces mots-clés : synchronisation, zimbra, certificat ssl

0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)