Installation d'un certificat Thawte SSL Webserver sur Zimbra 8.5.0

Au préalable, il est nécessaire de faire une demande CSR via le menu Accueil -> Configurer -> Certificats.

Génération du CSR

Via l'interface graphique :

Faire un clique droit puis faire "Installer le certificat".

Faire suivant et choisir "Générer la demande de cerfificat (CSR) auprès de l’émetteur commercial".

Remplir les champs pour la génération du CSR.

Via ligne de commande :

Se connecter en root via ssh sur le serveur Zimbra et taper la commande suivante en changeant les valeurs en majuscules :

/opt/zimbra/bin/zmcertmgr createcsr comm -new "/C=PAYS/ST="DEPARTEMENT"/L="VILLE"/O="NOM_DE_LORGANISATION"/OU="COMMENTAIRE"/CN="URL_ZIMBRA""

Les fichiers CSR et Key seront présent dans l'emplacement suivant :

/opt/zimbra/ssl/zimbra/commercial/commercial.csr
/opt/zimbra/ssl/zimbra/commercial/commercial.key

Installation du certificat

En ligne de commande :

Au préalable, il faudra télécharger les certificats racine et intermédiaire afin que la chaîne de certification soit complète.

Dans notre cas :

• Certificat Root - Root 1 Thawte Primary Root CA : https://www.thawte.com/roots/index.html


• Certificat Intermediaire Bundle - Thawte SHA-2 (under SHA1-Root) Intermediate CA Bundle : https://search.thawte.fr/support/ssl-digital-certificates/index?page=content&actp=CROSSLINK&id=AR2051

Ensuite se connecter en root sur le serveur  zimbra via ssh, et concaténons nos deux précédent certificats :

cat thawte_Primary_Root_CA.pem intermediate.crt > AllCA.crt

Vérifiions que notre chaîne est correcte et que le certificat est émis par Thawte est correcte :

root@zimco:~/SSL# /opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /root/SSL/certificat_emis_thawte.crt /root/SSL/AllCA.crt
** Verifying /root/SSL/certificat_emis_thawte.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/root/SSL/certificat_emis_thawte.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /root/SSL/certificat_emis_thawte.crt: OK

Ajoutons le nouveau certificat au sein de Java :

/opt/zimbra/java/bin/keytool -import -alias new -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /root/SSL/certificat_emis_thawte.crt

Installons le nouveau certificat au sein de Zimbra :

/opt/zimbra/bin/zmcertmgr deploycrt comm /root/SSL/certificat_emis_thawte.crt /root/SSL/AllCA.crt

Redémarrer Zimbra pour prise en compte.

/etc/init.d/zimbra restart