{"id":4504,"date":"2018-08-02T22:37:50","date_gmt":"2018-08-03T01:37:50","guid":{"rendered":"https:\/\/blog.clusterweb.com.br\/?p=4504"},"modified":"2018-08-02T22:38:16","modified_gmt":"2018-08-03T01:38:16","slug":"zimbra-letsencrypt-ssl","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=4504","title":{"rendered":"Zimbra Letsencrypt SSL"},"content":{"rendered":"

Ol\u00e1 ! Nesse artigo\u00a0eu\u00a0gostaria de compartilhar com voc\u00eas as orienta\u00e7\u00f5es para implementar um certificado v\u00e1lido e gratuito da\u00a0Let\u2019s Encrypt<\/strong>\u00a0no\u00a0Zimbra<\/strong>.<\/p>\n

(Essa implementa\u00e7\u00e3o \u00e9 id\u00eantica para a vers\u00f5es Open Source, Suite Plus e Network)<\/h6>\n

Tenho observado que mesmo com a divulga\u00e7\u00e3o dos certificados gratuitos da Let\u2019s Encrypt e a diminui\u00e7\u00e3o do custo de certificados assinados no Brasil em geral, muitos administradores Zimbra ainda n\u00e3o implementaram um certificado v\u00e1lido no seu ambiente.<\/p>\n

Vamos ao que interessa !\u00a0<\/strong><\/em><\/h3>\n

A emiss\u00e3o de certificados pela Let\u2019s Encrypt \u00e9 bem simples: Voc\u00ea instala o pacote, solicita o certificado com o nome principal e nomes alternativos (opcional) que deseja e a valida\u00e7\u00e3o \u00e9 efetuada atrav\u00e9s de consultas DNS: Se a sua solicita\u00e7\u00e3o estiver partindo do endere\u00e7o IP para qual o(s) endere\u00e7o(s) resolve(m), o certificado ser\u00e1 emitido.<\/p>\n

(Tamb\u00e9m \u00e9 poss\u00edvel efetuar a valida\u00e7\u00e3o com uma URL espec\u00edfica, espero abordar isso em um pr\u00f3ximo artigo)<\/em><\/h6>\n

A solicita\u00e7\u00e3o pode ser executada no pr\u00f3prio servidor Zimbra (se a requisi\u00e7\u00e3o na\u00a0Let\u2019s Encrypt<\/strong>\u00a0chegar com o endere\u00e7o IP do endere\u00e7o requisitado<\/em>), para isso, \u00e9 necess\u00e1rio parar o servi\u00e7o de Proxy\u00a0OU<\/strong>\u00a0Mailbox (aquele que estiver respondendo pelas requisi\u00e7\u00f5es dos clientes nas portas 80 e 443):<\/p>\n

zmproxyctl stop\r\nzmmailboxdctl stop<\/pre>\n
<\/p>\n
O pr\u00f3ximo passo \u00e9 efetuar o download do pacote da Let\u2019s Encrypt e entrar no diret\u00f3rio\u00a0letsencrypt<\/strong>:<\/p>\n
git clone https:\/\/github.com\/letsencrypt\/letsencrypt<\/a>\r\ncd letsencrypt<\/pre>\n
\"\"<\/a><\/p>\n
Para entendimento, o endere\u00e7o p\u00fablico do meu ambinete Zimbra neste artigo \u00e9 \u201cwebmail.linuxvibe.com.br<\/span><\/strong>\u201c. Para o Zimbra (e-mail e colabora\u00e7\u00e3o), basta um endere\u00e7o p\u00fablico, por\u00e9m neste certificado tamb\u00e9m estou contemplado os outros endere\u00e7os abaixo, que s\u00e3o necess\u00e1rios para instala\u00e7\u00e3o da solu\u00e7\u00e3o Zimbra Talk (irei publicar o artigo aqui em breve):<\/p>\n
\"\"<\/a><\/p>\n
No diret\u00f3rio \u201cletsencrypt<\/strong>\u201c, execute o comando abaixo para gera\u00e7\u00e3o do certificado com os endere\u00e7os desejados (op\u00e7\u00e3o -d):<\/p>\n
.\/letsencrypt-auto certonly \u2013standalone -d\u00a0xmpp.linuxvibe.com.br<\/span>\u00a0-dconference.linuxvibe.com.br<\/span>\u00a0-d\u00a0external.linuxvibe.com.br<\/span>\u00a0-dauth.linuxvibe.com.br<\/span>\u00a0-d\u00a0jitsi-videobridge.linuxvibe.com.br<\/span>\u00a0-dfocus.linuxvibe.com.br<\/span>\u00a0-d\u00a0turn.linuxvibe.com.br<\/span>\u00a0-dwebmail.linuxvibe.com.br<\/span><\/strong><\/p><\/blockquote>\n
Caso deseje iniciar o script informando o endere\u00e7o de modo interativo, execute-o apenas com as op\u00e7\u00f5es abaixo:<\/p>\n
.\/letsencrypt-auto certonly --standalone<\/pre>\n
O script ir\u00e1 configurar um servidor WEB tempor\u00e1rio para valida\u00e7\u00e3o e emiss\u00e3o do certificado, sendo necess\u00e1rio concordar com a licen\u00e7a e informar o e-mail para contato:<\/p>\n
\"\"<\/a><\/p>\n
Ocorrendo tudo bem com a valida\u00e7\u00e3o, o certificado (certificado+chave publica+cadei<\/em>a) ser\u00e1 emitido em armazenado em\u00a0\u201c\/etc\/letsencrypt\/live\/endere\u00e7o<\/em>\/<\/strong>\u201c:<\/p>\n
\"\"<\/a><\/p>\n
Neste momento, voc\u00ea j\u00e1 pode iniciar o seu servi\u00e7o novamente (proxy ou mailbox) e iniciar a instala\u00e7\u00e3o do certificado assinado.\u00a0Um desafio com a utiliza\u00e7\u00e3o de certificados da Let\u2019s Encrypt \u00e9 a renova\u00e7\u00e3o do mesmo, que deve ser efetuada a cada 90 dias, que pode ser automizada com o Certbot (https:\/\/certbot.eff.org\/<\/a>). O outro desafio \u00e9 que com a renova\u00e7\u00e3o, ser\u00e1 gerado um novo certificado, sendo necess\u00e1rio implementar novamente no Zimbra.<\/strong><\/p>\n
Para implementar o certificado no Zimbra, voc\u00ea ir\u00e1 precisar complementar a cadeia (chain) com a \u201croot CA\u201d, que \u00e9 efetuada da seguinte maneira:<\/p>\n