Перевыпуск сертификата Zimbra

Многие используют самоподписанные сертификаты, это не совсем безопасно, но вполне приемлемо, если почта используется внутри организации. При установке восьмой версии сертификат выдается сроком на пять лет. Перевыпускать сертификаты крайне желательно делать своевременно.

В случае истечения срока действия сертификатов вы получите ошибку при запуске служб Zimbra

Starting ldap...Done.
Unable to determine enabled services from ldap.
Enabled services read from cache. Service list may be inaccurate.
Starting zmconfigd...Done.
Starting logger...Failed.
Starting logswatch...ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: <strong>java.security.cert.CertPathValidatorException: timestamp check failed</strong>)
zimbra logger service is not enabled! failed.

Для перевыпуска сертификатов Zimbra требуются права суперпользователя. Создаем новый корневой сертификат

cd /opt/zimbra/bin
./zmcertmgr createca -new

Затем новый самоподписанный сертификат

./zmcertmgr createcrt -new -days 3650
# 3650 - срок действия в днях

Разворачиваем сертификаты

./zmcertmgr deploycrt self
./zmcertmgr deployca

Проверим, что сертификаты развернуты для всех служб

./zmcertmgr viewdeployedcrt

Меняем пользователя на zimbra и перезапускаем службы

su zimbra
zmcontrol restart

Для экспорта сертификата CA

cd /opt/zimbra/ssl/zimbra/ca
 openssl x509 -in ca.pem -outform DER -out ~/ZimbraSRV.cer

Cертификат будет находиться в домашней папке пользователя.