4 220
modifications
Aucun résumé des modifications |
|||
Ligne 17 : | Ligne 17 : | ||
L'installation est assez triviale. | L'installation est assez triviale. | ||
Lors de la configuration, pensez à définir le mode http en <code>redirect</code>. Ainsi, zimbra forcera l'utilisation de https. Une fois l'installation terminée, Zimbra sera lancé automatiquement. Les différents fichiers ont été installés dans <code>/opt/zimbra</code>. | Lors de la configuration, pensez à définir le mode http en <code>redirect</code>. Ainsi, zimbra forcera l'utilisation de https. Une fois l'installation terminée, Zimbra sera lancé automatiquement. Les différents fichiers ont été installés dans <code>/opt/zimbra</code>. | ||
Ajoutez l'utilisateur zimbra a la liste des utilisateurs autorisés a se connecter en ssh dans la configuration de openssh (directive <code>allowusers</code>) (c'est nécessaire pour certaines fonctions de l'interface d'administration de zimbra).<br /> | |||
Redémarrez ssh et zimbra : | |||
<pre> | |||
/etc/init.d/ssh restart | |||
</pre> | |||
=Création de son propre certificat ssl signé par son autorité de certification= | |||
Nous allons supposer que vous avez déjà créé votre autorité de certification root ainsi qu'une autorité intermédiaire (nommée <code>onyx</code> dans mon cas). Si ce n'est pas le cas, je vous renvoi [[Installation_et_configuration_de_OpenSSL|ici]]. | |||
Ajouter les lignes suivante dans la configuration de openssl : | |||
<pre> | |||
[ZIMBRA] | |||
nsComment = "ONYX Zimbra Server" | |||
subjectKeyIdentifier = hash | |||
authorityKeyIdentifier = keyid,issuer:always | |||
issuerAltName = issuer:copy | |||
subjectAltName = DNS:onyx.csnu.org, DNS:imap.csnu.org, DNS: pop.csnu.org, DNS: smtp.csnu.org, DNS:webmail.csnu.org, DNS:mail.csnu.org | |||
basicConstraints = critical,CA:FALSE | |||
keyUsage = digitalSignature, nonRepudiation, keyEncipherment | |||
nsCertType = server | |||
extendedKeyUsage = serverAuth | |||
</pre> | |||
Puis créez le certificat et signés le avec votre autorité intermédiaire : | |||
<pre> | |||
cd /etc/ssl/ca_onyx/ | |||
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout zimbra.key -out zimbra.req | |||
openssl ca -config /etc/ssl/openssl.cnf -name onyx_ca -extensions ZIMBRA -in zimbra.req -out zimbra.pem | |||
</pre> | |||
Les fichiers nécessaires au déploiement du certificat ssl dans zimbra sont les suivants : | |||
* <code>root_ca.pem</code> : le certificat root | |||
* <code>onyx_ca.pem</code> : le certificat de l'autorité intermédiaire ayant déployé le certificat zimbra | |||
* <code>zimbra.pem</code> : le certificat zimbra généré précédemment | |||
* <code>zimbra.key</code> : la clé privé zimbra générée précédemment | |||
Attention, veillez a ce que ces différents fichiers ne contiennent rien d'autre que les certificats et clés pures (entre le <code>begin</code> et le <code>end</code> inclut) sans aucun commentaire ou autre !<br /> | |||
Pour un certificat : | |||
<pre> | |||
-----BEGIN CERTIFICATE----- | |||
blahblah | |||
-----END CERTIFICATE----- | |||
</pre> | |||
Pour une clé : | |||
<pre> | |||
-----BEGIN RSA PRIVATE KEY----- | |||
blahlah | |||
-----END RSA PRIVATE KEY----- | |||
</pre> | |||
Nous allons maintenant déployer le certificat ssl dans zimbra.<br /> | |||
Pour commencer, créez le fichier <code>ca_chain.pem</code> contenant la chaine de certification complète : | |||
<pre> | |||
cat root_ca.pem onyx_ca.pem > ca_chain.pem | |||
</pre> | |||
Déplacez la clé privée : | |||
<pre> | |||
mv zimbra.key /opt/zimbra/ssl/zimbra/commercial/commercial.key | |||
</pre> | |||
Vous pouvez vérifier que vos certificats sont valides avec <code>zmcertmgr</code> : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key zimbra.pem ca_chain.pem | |||
</pre> | |||
Puis déployez le certificat dans zimbra avec <code>zmcertmgr</code> : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr deploycrt comm zimbra.pem ca_chain.pem | |||
</pre> | |||
Enfin, ajoutez manuellement les certificats dans la base de donnée de zimbra (et oui, le password est bien <code>changeit</code> par défaut) : | |||
<pre> | |||
/opt/zimbra/java/bin/keytool -import -alias onyxzimbra -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/conf/ca/commercial_ca.pem | |||
/opt/zimbra/java/bin/keytool -import -alias rootca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file root_ca.pem | |||
/opt/zimbra/java/bin/keytool -import -alias onyxca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file onyx_ca.pem | |||
</pre> | |||
Redémarrez zimbra : | |||
<pre> | |||
/etc/init.d/zimbra restart | |||
</pre> |