Zimbra: Instalando un Certificado gratuito SSL Let’s Encrypt

Por /

letsencrypt-esSaludos, Let’s Encrypt ha lanzado su Beta hace unos días, llevaba siguiendo el proyecto desde hace unos meses, y parece que por fín está casi listo.

¿Qué es Let’s Encrypt?

Let’s Encrypt es una nueva Entidad Certificadora, es gratis, automatizada y además abierta. Es una buena opción para proteger entornos Zimbra con un Certificado SSL profesional, a coste cero. Hay que tener en cuenta que por ahora se encuentra en estado Beta, y pueden surgir problemas, o incidencias, usarlo siempre bajo vuestra responsabilidad.

Para seguir el proyecto de cerca por favor ir a la web Oficial del Proyecto – https://letsencrypt.org. Además, siempre es bueno leer las preguntas y respuestas frecuentes

Instalar Let’s Encrypt en nuestro servidor Zimbra

Let’s Encrypt debe ser instalado en una máquina Linux para obtener el Certificado SSL, la CA intermedia, y la Private Key, no requiere que sea en el servidor Zimbra, pero si usamos el servidor Zimbra, será más fácil posteriormente hacer la renovación y ahorrar tiempo.

El primero paso será detener el servicio de nginx o de jetty, ya que Let´s Encrypt se comunica usando el puerto 443 para generar el Certificado SSL.

zmproxyctl stop
zmmailboxdctl stop

El segundo paso será instalar git en nuestro servidor (apt-get install git/yum install git) y clonar el proyecto letsencrypt en la carpeta que deseemos

  • Nota: En RedHat/CentOS 6 necesitas habilitar los repositorios EPEL antes de instalar letsencrypt.
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

En este ejemplo, vamos a ejecutar Let’s Encrypt de manera automática, y usar la opción de certonly, la cual nos generará los ficheros que necesitamos para después instalarlos en Zimbra

root@zimbra86:~/tmp/letsencrypt# ./letsencrypt-auto certonly

La primera vez que ejecutamos el entorno letsencrypt descargará las dependencias necesarias de los repositorios, puede durar unos minutos

Creating virtual environment...
Updating letsencrypt and virtual environment dependencies...../root/.local/share/letsencrypt/local/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
  InsecurePlatformWarning
./root/.local/share/letsencrypt/local/lib/python2.7/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
  InsecurePlatformWarning

El proceso nos preguntará por una dirección Email para usar en caso de emergencia o recuperar una Private Key en caso necesario

letsencrypt-002

El proceso nos preguntará también si estamos de acuerdo con las Condiciones de Uso

letsencrypt-003

  • Nota: En caso de renovación del SSL, el proceso solamente tomará unos segundos, veremos algo parecido a lo siguiente
Updating letsencrypt and virtual environment dependencies.......
Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt certonly

El último paso es introducir el FQDN que queremos proteger, en mi caso es zimbra86.zimbra.io:

letsencrypt-004

El proceso tarda unos segundos y terminará de la siguiente manera:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/zimbra86.zimbra.io/fullchain.pem. Your cert
   will expire on 2016-03-04. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

¿Donde está el Certificado SSL?

Podemos encontrar todos los Certificados SSL en la siguiente ruta /etc/letsencrypt/live/$domain, donde $domain es el fqdn usado durante el proceso:

root@zimbra86:/etc/letsencrypt/live/zimbra86.zimbra.io# ls -al
total 8
drwxr-xr-x 2 root root 4096 Dec  5 16:46 .
drwx------ 3 root root 4096 Dec  5 16:46 ..
lrwxrwxrwx 1 root root   42 Dec  5 16:46 cert.pem -> ../../archive/zimbra86.zimbra.io/cert1.pem
lrwxrwxrwx 1 root root   43 Dec  5 16:46 chain.pem -> ../../archive/zimbra86.zimbra.io/chain1.pem
lrwxrwxrwx 1 root root   47 Dec  5 16:46 fullchain.pem -> ../../archive/zimbra86.zimbra.io/fullchain1.pem
lrwxrwxrwx 1 root root   45 Dec  5 16:46 privkey.pem -> ../../archive/zimbra86.zimbra.io/privkey1.pem

Construyendo el fichero con el Intermediate CA y el Root CA especial para Zimbra

Let’s Encrypt es casi perfecto, pero eso no quita que Zimbra tenga su particular manera de aceptar los Certificados SSL, donde necesitamos un fichero con las Intermediate CA y el Root CA, Let’s Encrypt ya nos genera el chain.pem donde se encuentra el Intermediate CA, pero necesitamos además añadir el root después del Intermediate:

Vuestro fichero chain.pem debe ser algo como lo siguiente:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Verificando el Certificado SSL con Zimbra

Nos moveremos ahora a la carpeta donde tenemos todos los ficheros para operar más rápido, recordar /etc/letsencrypt/live/$domain y lanzaremos el siguiente comando cómo root:

root@zimbra86:/etc/letsencrypt/live/zimbra86.zimbra.io# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
Verifying cert.pem against privkey.pem
Certificate (cert.pem) and private key (privkey.pem) match. Valid Certificate: cert.pem: OK

Desplegar el Certificado SSL Let’s Encrypt SSL

Copiar la private key en el directorio adecuado de Zimbra

Antes de desplegar el Certificado SSL, debemos hacer este pequeño truco para copiar la privatekey que ha generado Let’s Encrypt en la ruta donde Zimbra guarda el SSL commercial:

cp /etc/letsencrypt/live/zimbra86.zimbra.io/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

Y ahora ya podemos lanzar el comando, cómo root en Zimbra 8.6, y como user zimbra desde Zimbra 8.7 en adelante, para instalar el Certificado SSL:

root@zimbra86:/etc/letsencrypt/live/zimbra86.zimbra.io# /opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem 
** Verifying cert.pem against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (cert.pem) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: cert.pem: OK
** Copying cert.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain chain.pem to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...failed.
** Saving server config key zimbraSSLPrivateKey...failed.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.

Y ya solamente nos queda reiniciar los servicios de Zimbra para que los cambios se apliquen correctamente y tengamos nuestro Certificado SSL

zmcontrol restart

Probando el nuevo Certificado SSL

El último paso es irnos a nuestro navegador preferido y abrir la URL de nuestro servidor Zimbra, para encontrarnos con el siempre agradable color verde en la URL, podemos hacer click en Certificate Information para ver el Certificado que protege el Servidor Zimbra:

letsencrypt-006

Una vez hacemos click para ver más información acerca del Certificado SSL, veremos lo siguiente:

letsencrypt-007

Solicitando Multi-SAN SSL Certificate y otros escenarios complejos

Let’s Encrypt nos permite muchas opciones diferentes, si queréis más información acerca de Multi-SAN, etc. lo mejor es dirigirse a la web oficial del proyecto

Print Friendly, PDF & EmailVersão para Impressão
Rolar para cima