Экспорт и установка сертификата Zimbra Collaboration
При работе с почтовым сервером Zimbra Collaboration, возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Это создает неудобство в работе, т.к. каждый раз пользователям приходится игнорировать непроверенный сертификат. Разберем как исправить эту ситуацию.
Вот такое предупреждение безопасности мы наблюдаем при попытке подключится к серверу с самоподписанным сертификатом.
Можно конечно проигнорировать данное сообщение безопасности и продолжить работу с почтовым сервером, но это не выход из ситуации. Ошибка сертификата возникает из за того что система не может доверять этому сертификату, так как нет доверия к выпустившему его центру сертификации.
Посмотреть данные сертификата почтового сервера можно зайдя в панели Администрирование — Управление.
Переходим в пункт Сертификаты и правой кнопкой мыши по имени узла службы выбираем Просмотр сертификата.
Нам выводится информация по сертификату. Так же тут можно посмотреть в пункте Дни проверки до какого числа действителен сертификат.
Экспорт сертификата Zimbra
Для того что бы экспортировать сертификат Zimbra для последующего его импорта на клиентские машины, нужно зайти в сервер где развернут почтовый сервер Zimbra Collaboration и в командной строке выполнить:
sudo openssl x509 -in /opt/zimbra/ssl/zimbra/ca/ca.pem -outform DER -out /home/jakonda/zimbra.cer
В результате выполнения команды мы получаем сертификат zimbra.cer, который можно импортировать на клиентские машины.
Импорт сертификата Zimbra в ОС Windows
Для того чтобы установить сертификат нажимаем правой кнопкой мыши по сертификату и выбираем Установить сертификат.
В мастере импорта сертификатов выбираем пункт Поместить все сертификаты в следующее хранилище, хранилище выбираем Доверенные корневые центры сертификации. Нажимаем Далее.
В предупреждении о безопасности нажимаем Да.
Вывод сообщения об успешном импорте сертификата.
Теперь если мы зайдем в браузере на почтовый сервер Zimbra Collaboration, то мы увидим что система распознала сертификат и не выдает больше сообщений об ошибке. Чего мы и добивались.
Импорт сертификата Zimbra с помощью групповых политик (GPO)
Выше мы рассмотрели как установить сертификат на единичную машину, а если машин не один десяток, то удобней и логичней будет импортировать сертификаты на клиентские машины посредством групповых политик (GPO). Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов. Создавать групповую политику мы будем на примере Windows Server 2012 R2.
Открываем оснастку Group Policy Management (Управление групповой политикой), создаем новую политику ZimbraCertificate.
Теперь щелкнем на политику правой кнопкой мыши и выберем Edit… (Изменить).
В открывшемся редакторе групповых политик последовательно разворачиваем Computer Configuration (Конфигурация компьютера) — Policies (Политики) — Windows Settings (Конфигурация Windows) — Security Settings (Параметры безопасности) — Public Key Policies (Политики открытого ключа) — Trusted Root Certification Authorities (Доверенные корневые центры сертификации). В правой части окна в меню правой кнопкой мыши выбираем Import… (Импорт) и импортируем сертификат.
Нажимаем Browse… (Обзор) и выбираем сертификат который будем импортировать. Нажимаем Next.
Оставляем выбор без изменений, нажимаем Next.
Жмем Finish для завершения добавления сертификата.
Видим что сертификат успешно добавлен в политику, теперь он будет автоматически импортироваться всем пользователям на которых распространяется данная политика.
Проверим, сделаем LogOff/LogOn машины на которую применяется данная политика и посмотрим импортировался ли сертификат. Как видим сертификат успешно импортировался.
На это все, мы разобрали как экспортировать и импортировать сертификат Zimbra.
Понравилась или оказалась полезной статья, поблагодари автора
Работает, спасибо. Если не появилось большое окно с текстом «Готовится установка сертификата от центра сертификации (ЦС) в этом домене…», как на скриншоте после «В предупреждении о безопасности нажимаем Да.» — вы пытаетесь установить не тот сертификат. Я сначала пробовал установить chain.pem из папки letsencrypt, но нужен именно сертификат из папки /ssl/zimbra/ca/
в chrome у меня не заработало, пишет «Сертификат (недействительный)» хотя заходя в него видим что он до 25 апреля 2021 г.