Installer un certificat Zimbra
Vous avez reçu votre certificat par email, avec un ou plusieurs certificats intermédiaires, et un certificat racine. Gardez cet email sous la main.
1- Récupérez le ou les certificats sur votre serveur
Téléchargez les fichiers indiqués dans l'email de livraison :
(À partir de la page statut de votre certificat dans votre espace client chez TBS, cliquez sur le bouton "Voir le certificat")
- A: votre certificat serveur (fichier avec l'extension .cer ou .crt) : à nommer commercial.crt
- B: la chaine de certification (fichier avec l'extension .txt) : à nommer commercial_ca.crt
NOTA : Il faut rajouter le certificat racine auto-signé dans le fichier commercial_ca.crt
Vous pouvez télécharger la racine depuis la page de statut de votre certificat, bouton Voir le certificat puis en suivant le lien Voir le certificat racine.
Enregistrez ces fichiers dans un répertoire temporaire /tmp/
Sous linux, pour ajouter le certificat racine, vous pouvez concaténer les deux fichiers :
cat chain-1234567890-123456.txt rootCert-1234567890-123456.cer > commercial_ca.crt
2- Vérification du certificat et de la chaine de certification
Attention : pour les versions de Zimbra inférieures a 8.7,l'outil de vérification "zmcertmgr" doit être lancé en root. Pour toutes les versions supérieures a 8.7; il faut lancer avec l'utilisateur "zimbra".
Testez avec la commande suivante :
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt
Si vous obtenez une erreur de ce genre :
Verifying '/tmp/commercial.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key' unable to load certificate 140521322567328:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:697:Expecting: TRUSTED CERTIFICATE ERROR: Certificate '/tmp/commercial.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' do not match.
ou alors :
Error loading file /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt
usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-attime timestamp] [-engine e] cert1 cert2 ...
recognized usages:
sslclient SSL client
sslserver SSL server
nssslserver Netscape SSL server
smimesign S/MIME signing
smimeencrypt S/MIME encryption
crlsign CRL signing
any Any Purpose
ocsphelper OCSP helper
timestampsign Time Stamp signing
XXXXX ERROR: Invalid Certificate:
Il faut créer manuellement les fichiers commercial.crt et commercial_ca.crt. Rendez-vous sur la page statut de votre certificat, bouton "Voir le certificat". sur la pop-up qui apparaît, copier tout le contenu :
-----------BEGIN CERTIFICATE----------
...
...
...
-----------END CERTIFICATE------------
Et coller le dans un fichier commercial.crt que vous placerez dans le dossier /tmp/
Concernant la chaine de certification, toujours depuis la page statut de votre certificat, bouton "Voir le certificat", cliquez sur "Voir la chaine de certification". Comme précédemment, copiez
l'intégralité du contenu dans un fichier intitulé commercial_ca.crt que vous placerez également dans le dossier /tmp. Ensuite cliquez sur "Voir le certificat racine" pour copier le contenu dans ce meme fichier. Au final votre fichier commercial_ca.crt
doit ressembler à ceci :
subject=........
issuer=........
-----------BEGIN CERTIFICATE----------
...
Certificat intermediaire 1
...
-----------END CERTIFICATE------------
subject=........
issuer=........
-----------BEGIN CERTIFICATE----------
...
Certificat intermediaire 2 (si présent)
...
-----------END CERTIFICATE------------
-----------BEGIN CERTIFICATE----------
...
Certificat racine
...
-----------END CERTIFICATE------------
Procédez une nouvelle fois a une vérification. Si les tests sont bons, déployez le certificat avec la commande suivante :
/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt
Votre certificat est désormais actif partout. Redémarrez les services pour ainsi activer le nouveau certificat.
Vérifiez l'installation de votre certificat grâce à CO-PiBot
Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, Vous y trouverez un bouton "Tester l'installation" pour tester la bonne installation de votre certificat.
Recommandations de sécurité
Groupes DH forts
- Nous vous recommandons de générer des groupes dh forts et uniques à
votre machine afin
d'accroitre sa
sécurité.
Pour cela, lancez la ligne de commande suivante et placez son résultat
dans un dossier accessible par le serveur web :
openssl dhparam -out dhparams.pem 2048
Ajoutez ensuite la ligne suivante à votre configuration:
ssl_dhparam /chemin/vers/votre/dhparams.pem;
Cette ligne est à ajouter aux fichiers /opt/zimbra/conf/nginx/templates/nginx.conf.web.https.template et /opt/zimbra/conf/nginx/templates/nginx.conf.web.https.default.template.
Configuration des ciphers
Nous recommandons la configuration des ciphers de votre serveur afin d'accroitre sa sécurité.
Avec le proxy Nginx Zimbra
Si vous utilisez le proxy ngninx (activé par défaut à partir de ZCS 8.7), vous pouvez paramétrer votre liste de ciphers à l'aide de l'outil en ligne de commande zmprov. Il faudra par la suite redémarrer le service. Nous recommandons la configuration suivante :
zmprov mcf zimbraReverseProxySSLCiphers '!EDH:!AECDH:!ADH:!DSS:!RC4:ECDSA:HIGH:!3DES:!NULL:!aNULL:!eNULL' zmproxyctl restart
Sans le proxy Nginx Zimbra
Si vous n'avez pas le proxy Nginx d'activé, vous pouvez manuellement exclure des ciphers dangereux à l'aide des commandes suivantes :
su - zimbra zmprov mcf +zimbraSSLExcludeCipherSuites <cipher1> zmprov mcf +zimbraSSLExcludeCipherSuites <cipher2> zmprov mcf +zimbraSSLExcludeCipherSuites <cipherN> zmmailboxdctl restart