Сертификаты

TheDeadOne, 31/01/2013 - 08:32
У меня в сети есть собственный CA и настроено доверие к нему на всех хостах. Хотелось бы им подписать сертификат Zimbra. Я попробовал. При установке сертификата из админки zimbra получил ошибку:

Сертификат не установлен из-за ошибки : system failure: exception executing command: zmcertmgr verifycrtchain /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current_chain.crt /opt/zimbra/mailboxd/webapps/zimbraAdmin/tmp/current.crt with {RemoteManager: mail.megacorp.ru->zimbra@mail.megacorp.ru:22}

Честно говоря, несколько потерялся... Куда копать?

Форумы »

Комментарии

alexvg75 аватар
alexvg75
31/01/2013 - 09:21
Немного о сертификатах описано здесь: http://www.ossportal.ru/technologies/zimbra/blogs/58
Документация на сайте zimbra: http://wiki.zimbra.com/wiki/Administration_Console_and_CLI_Certificate_T...
Лично у меня получилось через "смешанный" способ, т.е. консоль и админка:
1) Через "zmcertmgr deployca" устанавливаем корневой
2) Далее через веб.консоль администратора создаем серверные сертификаты

TheDeadOne аватар
TheDeadOne
31/01/2013 - 09:31
Насколько я понял, команде zmcertmgr deployca должны предшествовать zmcertmgr createca, createcrt и deploycrt. Если сертификат CA создаётся тут же на сервере Zimbra, то никаких проблем. А если у меня уже есть CA на другом сервере? Куда подкинуть crt-файл, чтобы deploycrt и deployca прошли удачно? И возможно ли такое вообще?

Почитал вот это http://www.zimbra.com/forums/installation/12618-solved-rolling-your-own-ca-installing-certificates-zimbra.html и напрягся. Потом заглянул в /opt/zimbra/ssl/ и напрягся ещё сильнее, что-то там многовато как-то...

alexvg75 аватар
alexvg75
31/01/2013 - 09:51
В ссылке на блог Aviriel описан процесс через веб консоль:
1) создаем запрос
2) отправляем запрос, генерим и подписываем его корневым сертификатом
3) полученный сертификат загружается через этот же интерфейс на сервер. Сервер попросит отдать ему корневой сертификат удостоверяющего центра, для этого скачайте файл root_ca.pem (или подобный) с сайта Центра, выдавшего вам сертификат, и отдайте его вместе с сертификатом.


TheDeadOne аватар
TheDeadOne
31/01/2013 - 10:10
 Я так и сделал изначально. Ошибку выдаёт. Вероятно, ему не нравится сертификат моего CA.
alexvg75 аватар
alexvg75
31/01/2013 - 10:49
Если не сложно попробуйте следующий "трюк":
1) Разместить корневые ключ и сертификат на zimbra (пути можно глянуть в zmcertmgr он башевый скрипт)
2) продеплоить Ваш са на zimbra: через zmcertmgr deployca
3) Через веб консоль создать сертификат.
либо остается путь, описанный для коммерческих сертификатов в http://wiki.zimbra.com/wiki/Administration_Console_and_CLI_Certificate_T... в разделе "Single-Node Commercial Certificate"
TheDeadOne аватар
TheDeadOne
31/01/2013 - 12:09
Получилось! Спасибо.
Добавить комментарий