Aller au contenu


Certificat ou clé privée incorrecte via l'UI mais pas par CLI


  • Veuillez vous connecter pour répondre
8 réponses à ce sujet

#1 aiRVB

aiRVB

    Nouveau membre

  • Membres
  • 4 messages
  • LocalisationBéthune

Posté 14 février 2017 - 11:33

Bonjour,

Je dois faire évoluer la messagerie mono-domaine de mon établissement public (ZCS8.0.6-OSE sous RHEL6, mono-serveur) en une messagerie multi-domaine. (Je teste pour l'instant cette migration en environnement de test, pour ne pas pénaliser ma prod)

La mise à jour 8.0.6 vers 8.7.1 c'est déroulée sans aucun soucis.

J'ai ensuite séparé mon installation en différents serveurs (je voulais séparer les Mailbox par domaine):
-serveur1 (serveur d'origine upgradé en 8.7.1) = LDAP + Mailbox-domaine1
-serveur2 = MTA + A/V + A/S + Proxy
-serveur3 = Mailbox-domaine2
-serveur4 = Mailbox-domaine3

Je dois à présent gérer 3 domaines avec 4 serveurs localisés sur "domaine1.fr". A l'origine le certificat SSL commercial wildcard "*.domaine1.fr" était installé sur le seul serveur "serveur1.domaine1.fr". J'ai installé ce même certificat sur les 3 autres serveurs dans les "certificats serveurs".
Comme je dois gérer 3 domaines, j'ai paramétré me 3 certificats SSL au niveau des 3 domaines déclarés dans Zimbra (et activé le SSL SNI workflow, j'ai un proxy Squid devant le proxy Zimbra du "serveur2", pas de soucis).

C'est là que ça se corse:
J'arrive à vérifier et inscrire mes certificats ("*.domaine1.fr", "*.domaine2.fr", "*.domaine3.fr") pour chaque domaines en CLI mais pas via l'UI. Et une fois que ces certificats sont inscrits via le CLI, je ne peux plus faire de modification du domaine via l'UI sans avoir un popup "Certificat ou clé privée incorrecte". Or l'accés à mes 3 messageries correspondantes aux trois domaines sont fonctionnelles en https ! Je suis donc à chaque fois obligé, pour faire des modifs de mes domaines, d'effacer via l'UI le "Certificat du domaine" et la "Clé privée du domaine" (dans Domaines->"domaineX.fr"->Certificat), puis faire mes modifs, puis réinscrire mon certificat+clé via les commandes CLI !?

Mes certificats sont des wildcard standard de chez Gandi. J'ai suivi la procédure dans le wiki Zimbra pour regrouper les certificats racine, intermédiaire et commercial, j'ai vérifié le tout par les commandes Zimbra. Je réalise ces opérations pour chacun de mes certificats:

cp certificate-123456.crt domaine1.fr.crt
cp wildcard.domaine1.key domaine1.fr.key
cat GandiStandardSSLCA2.pem addtrustexternalcaroot.crt > domaine1.fr_ca.crt

/opt/zimbra/bin/zmcertmgr verifycrt comm domaine1.fr.key domaine1.fr.crt domaine1.fr_ca.crt
[zimbra@serveur1]$ /opt/zimbra/bin/zmcertmgr verifycrt comm domaine1.fr.key domaine1.fr.crt domaine1.fr_ca.crt
** Verifying 'domaine1.fr.crt' against 'domaine1.fr.key'
Certificate 'domaine1.fr.crt' and private key 'domaine1.fr.key' match.
** Verifying 'domaine1.fr.crt' against 'domaine1.fr_ca.crt'
Valid certificate chain: domaine1.fr.crt: OK

cat domaine1.fr.crt domaine1.fr_ca.crt > domaine1.fr_bundle.crt
[zimbra@serveur1]$ /opt/zimbra/libexec/zmdomaincertmgr savecrt domaine1.fr domaine1.fr_bundle.crt domaine1.fr.key
** Saving domain config key zimbraSSLCertificate...done.
** Saving domain config key zimbraSSLPrivateKey...done.

[idem pour les deux autres certificats]
[zimbra@serveur1]$ /opt/zimbra/libexec/zmdomaincertmgr deploycrts
** Deploying cert for domain1.fr...done.
** Deploying cert for domain2.fr...done.
** Deploying cert for domain3.fr...done.

Dans l'UI j'ai alors en visu mes certificats et clé privées mais toujours cette popup si je modifie quoique ce soit dans la rubrique "Domaine"


Pouvez-vous m'aider sur le sujet ? (Exchange gratte à la porte...)
aiRVB : ZCS 8.0.6_GA_5922 (OS)

#2 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 216 messages
  • LocalisationBeaucaire - Gard

Posté 14 février 2017 - 11:52

Même soucis pour enregistrer les certificats complémentaires (sur une plateforme 8.6).
Ca rate systématiquement en adminUI et ça marche très bien en CLI.
Il y a toujours eu des soucis divers autour des certificats dans l'adminUI, ça fait longtemps que je ne les gère plus qu'en CLI (et ça fait une raison de plus de le faire).

Par contre, je peux toucher à ce que je veux concernant le domaine (CoS par exemple ou autre) et enregistrer les modifications sans soucis (dans l'adminUI).
Il n'y a que si je modifie quelque chose dans la rubrique "certificats" que c'est le bazar.

Les tests sont fait avec un compte "super admin" ? un "domain admin étendu" ?

#3 aiRVB

aiRVB

    Nouveau membre

  • Membres
  • 4 messages
  • LocalisationBéthune

Posté 14 février 2017 - 13:45

Ca me rassure à moitié Klug. Je préfère aussi le CLI et de toute façon il n'y a pas le choix car tout n'a pas été implémenté dans l'UI.
L'onglet "Classe de service" n'est pas dans l'onglet "Domaines" mais au même niveau et je n'ai donc pas de soucis, c'est juste TOUT de qui se trouve dans l'onglet "Domaines" (Info générale, Liste Gal, Auth., Hotes virtuels, Caract. etc... ) qui se retrouve bloqué à cause du certificat de domaine.
Je fais toutes mes manips avec le même compte admin d'origine (monoserveur 8.0.6 migré en multiserveur 8.7.1). Les comptes utilisateurs et celui d'admin n'ont pas changé. J'espère que les nombreuses manips que j'ai dû faire pour aboutir à la plateforme actuelle ne m'a pas conduit à une installation farfelue de Zimbra ? J'aurais bien voulu faire la migration RHEL6 vers RHEL7 au passage mais à priori il faut repartir d'une nouvelle installation et ré-importer les comptes et données utilisateurs et là... il n'y pas pas d'outil pour cela (en version OSE en tout cas), tu confirmes ?
aiRVB : ZCS 8.0.6_GA_5922 (OS)

#4 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 216 messages
  • LocalisationBeaucaire - Gard

Posté 14 février 2017 - 16:02

Ce dont je parlais, c'était modifier la CoS par défaut du domaine, ça se passe bien dans l'onglet "Domaine".
J'ai aussi fait le test en modifiant tout à l'heure le ZimbraPublicServiceHostname et pas de soucis.
Mais je suis en 8.6, pas 8.7.

La migration RHEL6 à RHEL7 est parait-il faisable. Jamais testé et pas le temps.
Pour migrer un ZCS d'un OS à un autre, la solution la plus efficace (OSE ou NE) est ZxMig de ZeXtras.

#5 aiRVB

aiRVB

    Nouveau membre

  • Membres
  • 4 messages
  • LocalisationBéthune

Posté 14 février 2017 - 18:12

Au temps pour moi. Modifier la CoS par défaut du domaine me cause la même erreur "Certificat ou clé privée incorrecte". Je vais finir par être bon en CLI si je dois passer systématiquement par là ;)
ça ne me gène pas mais je ne suis pas le seul à administrer la plateforme donc je perd des points...
Oui j'ai vu ZxMig mais il est lié à ZxBackup. 100% gratuit avec une sous-couche payante ! Le produit a l'air bien foutu sinon.
J'ai réussi à éviter Exchange (hyper réclamé!) il y a 4 ans pour remplacer le vieux Horde. J'ai installé ZimbraOSE + Z-Push et en 4 ans maintenant, aucun soucis de fonctionnement avec toutes les fonctionnalités, c'est beau mais il faut lutter au quotidien contre les contrats cadres Microsoft quasi-imposés dans le public qui mettent à mal régulièrement ce choix au yeux de certains. Des fois il ne me reste plus que l'argument du "gratuit" pour me justifier !
J'ai regardé le changelog de la 8.7.2, rien à priori sur la gestion des certifs SSL. Est-ce que ça a un intérêt de remonter le soucis au support sachant que j'utilise l'OSE ? Peut-être que tu as déjà remonté ce que tu as constaté de ton côté ?
aiRVB : ZCS 8.0.6_GA_5922 (OS)

#6 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 216 messages
  • LocalisationBeaucaire - Gard

Posté 15 février 2017 - 10:46

ZeXtras a une licence de test de 30 jours, largement de quoi migrer...

#7 seedaumas

seedaumas

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 1 254 messages
  • LocalisationCarcassonne:Aude(11)

Posté 15 février 2017 - 17:29

Voir le messageKlug, le 15 février 2017 - 10:46, dit :

ZeXtras a une licence de test de 30 jours, largement de quoi migrer...

Et pour l'avoir fait très récemment ça marche très bien!!
Zimbra 8.7.11 Community sur VM ESXi 5.5 CENTOS 7 64bits + Zextras suite - 25 BAL.

#8 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 216 messages
  • LocalisationBeaucaire - Gard

Posté 15 février 2017 - 17:35

https://wiki.zextras..._ZeXtras_Backup

#9 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 216 messages
  • LocalisationBeaucaire - Gard

Posté 20 avril 2017 - 15:36

Trouvé ! Enfin...
https://bugzilla.zim...ug.cgi?id=77666

J'ai testé : en passant la clef privée au format RSA (voir commentaire 12), ça marche bien.




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)