Многие используют самоподписанные сертификаты, это не совсем безопасно, но вполне приемлемо, если почта используется внутри организации. При установке восьмой версии сертификат выдается сроком на пять лет. Перевыпускать сертификаты крайне желательно делать своевременно.
В случае истечения срока действия сертификатов вы получите ошибку при запуске служб Zimbra
Starting ldap...Done. Unable to determine enabled services from ldap. Enabled services read from cache. Service list may be inaccurate. Starting zmconfigd...Done. Starting logger...Failed. Starting logswatch...ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: <strong>java.security.cert.CertPathValidatorException: timestamp check failed</strong>) zimbra logger service is not enabled! failed.
Для перевыпуска сертификатов Zimbra требуются права суперпользователя. Создаем новый корневой сертификат
cd /opt/zimbra/bin ./zmcertmgr createca -new
Затем новый самоподписанный сертификат
./zmcertmgr createcrt -new -days 3650 # 3650 - срок действия в днях
Разворачиваем сертификаты
./zmcertmgr deploycrt self ./zmcertmgr deployca
Проверим, что сертификаты развернуты для всех служб
./zmcertmgr viewdeployedcrt
Меняем пользователя на zimbra и перезапускаем службы
su zimbra zmcontrol restart
Для экспорта сертификата CA
cd /opt/zimbra/ssl/zimbra/ca openssl x509 -in ca.pem -outform DER -out ~/ZimbraSRV.cer
Cертификат будет находиться в домашней папке пользователя.