Installieren eines Lets`s Encrypt-Zertifikat auf Zimbra

Hier erklären wir wie wir ein Lets`s Encrypt-Zertifikat auf einem Zimbra-Server installieren. Dies wird für das Webmail, wie auch alle anderen Zimbra-Dienste benötigt. Dafür müssen wir zuerst folgende Zimbra-Dienste stoppen. Dies machen wir mit den folgenden Befehlen:

su zimbra
zmproxyctl stop
zmmailboxdctl stop

Falls git noch nicht installiert sein sollte holen wir das mit folgendem Befehl nach:

apt-get install git

Anschliessend können wir Let`s Encrypt von der Git-Repository clonen und in den Ordner wechseln:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

nun generieren wir ein Lets`s Encrypt-Zertifikat wieder als root user und geben die geforderten Informationen zur Erstellung des Zertifikates ein:

sudo su
./letsencrypt-auto certonly --standalone

Die Files des Zertifikates befinden sich nun im Ordner etc/letsencrypt/live/$domain. Prüfen können wir das nach einem Wechsel in den jeweiligen Ordner und dem ls -la Befehl

cd etc/letsencrypt/live/$domain
ls -la

Anschliessend passen wir die das chain.pem-File an um ein vollständiges Zertifikat mit Root CA zu erhalten:

nano chain.pem

und fügen folgendes am Ende des Zertifikates zusätzlich ein:

-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Nun kopieren wir die Zertifikat-Files in den korrekten Ordner, setzen die Korrekten Berechtigungen und verifizieren das Zertifikat:

mkdir /opt/zimbra/ssl/letsencrypt
cp /etc/letsencrypt/live/IHRE DOMAIN/* /opt/zimbra/ssl/letsencrypt/
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
ls -la /opt/zimbra/ssl/letsencrypt/
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem 

Um das Zertifikat anzuwenden, erstellen wir uns eine Sicherungskopie, kopieren den privkey.pem in den Zimbra SSL commercial Pfad:

cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

Für das anwenden müssen wir wieder zum Zimbra-User wechseln, das Zertifikat deployen und zmcontrol neustarten

su zimbra
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
zmcontrol restart

Fertig. Nun kann geprüft werden, ob das Zertifikat ordnungsgemäss installiert wurde.