SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Installer un certificat Zimbra

Vous avez reçu votre certificat par email, avec un ou plusieurs certificats intermédiaires, et un certificat racine. Gardez cet email sous la main.

1- Récupérez le ou les certificats sur votre serveur

Téléchargez les fichiers indiqués dans l'email de livraison :
(À partir de la page statut de votre certificat dans votre espace client chez TBS, cliquez sur le bouton "Voir le certificat")

  • A: votre certificat serveur (fichier avec l'extension .cer ou .crt) : à nommer commercial.crt
  • B: la chaine de certification (fichier avec l'extension .txt) : à nommer commercial_ca.crt

NOTA : Il faut rajouter le certificat racine auto-signé dans le fichier commercial_ca.crt

Vous pouvez télécharger la racine depuis la page de statut de votre certificat, bouton Voir le certificat puis en suivant le lien Voir le certificat racine.

Enregistrez ces fichiers dans un répertoire temporaire /tmp/

Sous linux, pour ajouter le certificat racine, vous pouvez concaténer les deux fichiers :

cat chain-1234567890-123456.txt rootCert-1234567890-123456.cer > commercial_ca.crt

2- Vérification du certificat et de la chaine de certification

Attention : pour les versions de Zimbra inférieures a 8.7,l'outil de vérification "zmcertmgr" doit être lancé en root. Pour toutes les versions supérieures a 8.7; il faut lancer avec l'utilisateur "zimbra".

Testez avec la commande suivante :

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt

Si vous obtenez une erreur de ce genre :

Verifying '/tmp/commercial.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'
unable to load certificate
140521322567328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:697:Expecting: TRUSTED CERTIFICATE
ERROR: Certificate '/tmp/commercial.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' do not match.

ou alors :

Error loading file /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
             usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-attime timestamp] [-engine e] cert1 cert2 ...
             recognized usages:
             sslclient       SSL client
             sslserver       SSL server
             nssslserver     Netscape SSL server
             smimesign       S/MIME signing
             smimeencrypt    S/MIME encryption
             crlsign         CRL signing
             any             Any Purpose
             ocsphelper      OCSP helper
             timestampsign   Time Stamp signing
             XXXXX ERROR: Invalid Certificate:
        

Il faut créer manuellement les fichiers commercial.crt et commercial_ca.crt. Rendez-vous sur la page statut de votre certificat, bouton "Voir le certificat". sur la pop-up qui apparaît, copier tout le contenu :

    -----------BEGIN CERTIFICATE----------
    ...
    ...
    ...
    -----------END CERTIFICATE------------

Et coller le dans un fichier commercial.crt que vous placerez dans le dossier /tmp/
Concernant la chaine de certification, toujours depuis la page statut de votre certificat, bouton "Voir le certificat", cliquez sur "Voir la chaine de certification". Comme précédemment, copiez l'intégralité du contenu dans un fichier intitulé commercial_ca.crt que vous placerez également dans le dossier /tmp. Ensuite cliquez sur "Voir le certificat racine" pour copier le contenu dans ce meme fichier. Au final votre fichier commercial_ca.crt doit ressembler à ceci :

    subject=........
    issuer=........
    -----------BEGIN CERTIFICATE----------
    ...
    Certificat intermediaire 1
    ...
    -----------END CERTIFICATE------------
    
    subject=........
    issuer=........
    -----------BEGIN CERTIFICATE----------
    ...
    Certificat intermediaire 2 (si présent)
    ...
    -----------END CERTIFICATE------------

    -----------BEGIN CERTIFICATE----------
    ...
    Certificat racine
    ...
    -----------END CERTIFICATE------------

Procédez une nouvelle fois a une vérification. Si les tests sont bons, déployez le certificat avec la commande suivante :

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt 

Votre certificat est désormais actif partout. Redémarrez les services pour ainsi activer le nouveau certificat.

Vérifiez l'installation de votre certificat grâce à CO-PiBot

Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, Vous y trouverez un bouton "Tester l'installation" pour tester la bonne installation de votre certificat.

Recommandations de sécurité

Groupes DH forts

  • Nous vous recommandons de générer des groupes dh forts et uniques à votre machine afin d'accroitre sa sécurité. Pour cela, lancez la ligne de commande suivante et placez son résultat dans un dossier accessible par le serveur web :
    openssl dhparam -out dhparams.pem 2048

    Ajoutez ensuite la ligne suivante à votre configuration:
    ssl_dhparam /chemin/vers/votre/dhparams.pem;
    Cette ligne est à ajouter aux fichiers /opt/zimbra/conf/nginx/templates/nginx.conf.web.https.template et /opt/zimbra/conf/nginx/templates/nginx.conf.web.https.default.template.

Configuration des ciphers

Nous recommandons la configuration des ciphers de votre serveur afin d'accroitre sa sécurité.

Avec le proxy Nginx Zimbra

Si vous utilisez le proxy ngninx (activé par défaut à partir de ZCS 8.7), vous pouvez paramétrer votre liste de ciphers à l'aide de l'outil en ligne de commande zmprov. Il faudra par la suite redémarrer le service. Nous recommandons la configuration suivante :

zmprov mcf zimbraReverseProxySSLCiphers '!EDH:!AECDH:!ADH:!DSS:!RC4:ECDSA:HIGH:!3DES:!NULL:!aNULL:!eNULL'

zmproxyctl restart

Sans le proxy Nginx Zimbra

Si vous n'avez pas le proxy Nginx d'activé, vous pouvez manuellement exclure des ciphers dangereux à l'aide des commandes suivantes :

su - zimbra
zmprov mcf +zimbraSSLExcludeCipherSuites <cipher1>
zmprov mcf +zimbraSSLExcludeCipherSuites <cipher2>
zmprov mcf +zimbraSSLExcludeCipherSuites <cipherN>
zmmailboxdctl restart

Liens utiles