Zimbra 邮件服务器允许以两种不同的方式生成证书签名请求 (CSR):
- Zimbra 管理控制台(网页界面)
- Zimbra 证书管理器(命令行界面)。
- 输入完整的管理员地址,例如 admin@domain.com,然后输入密码。点击「登录」:
- 在主菜单的左侧列表中点击「配置」。
- 在下一个窗口中,点击「证书」,然后选择「安装证书」的选项:
- 您将看到一个单独的窗口,您需要选择所需的邮件服务器。然后点击「下一步」:
- 选择「生成 CSR」选项以开始生成过程:
- 填入所有必要的信息:
- 下载 CSR 文件,用任何文本编辑器打开它,并复制整个 CSR 代码,包括「Begin Certificate」和「End Certificate」行以进行后续的 SSL 证书启用。
通过 Zimbra 管理控制台生成 CSR
要进入管理控制台生成 CSR,请使用以下 URL 格式: https: //server.domain.com:7071
在此链接中,server.domain.com 是当前 Zimbra 服务器名称或 IP 地址;默认端口是 7071。
- 通用名称是将启用 SSL 的完全合格域名。对于 SSL 通配符证书,应在域名的前面加上星号(例如,*.example.com)。
- 国家名称是公司或申请者所在地的两个大写字母(ISO 3166-1 合规)代码(例如,US)。
- 州/省是公司或申请者所在的州、县或地区(例如,加利福尼亚州)。
- 城市是公司或申请者所在地的城市、城镇或村庄(例如,洛杉矶)。
- 组织名称是申请证书的组织的正式注册名称。如果没有,请在这里填写 NA。
- 组织单位是您组织内部的部门或分支机构名称。如果没有,请在这里填写 NA。
如果您要启用单一域名 SSL 证书,请点击「移除」按钮以删除主体替代名称。完成后,点击「下一步」以继续:
通过 Zimbra 证书管理器(命令行界面)生成 CSR
Zimbra 套件具有'zmcertmgr' 工具来管理 SSL 证书。
对于 8.6 或更低版本,这个工具必须以 root 身份运行。请在终端中运行以下命令以获得 root 特权:
sudo su
从 8.7 版开始,此工具应以 zimbra 用户身份运行。运行以下命令以切换从默认用户到 zimbra 用户:
sudo su
su zimbra
运行以下命令以生成单域名 SSL 证书的新 CSR 代码:
/opt/zimbra/bin/zmcertmgr createcsr comm -new -subject "/C=HK/ST=HK/L=Hong Kong/O=ZTABOX/OU=NA/CN=server.domain.com" -noDefaultSubjectAltName
其中 C - 国家
ST - 州(地区)
L - 地方(城市、城镇等)
O - 组织名称
OU - 组织单位
CN - 通用名称(主服务器主机名)
(所有这些信息应该是您自己的联络信息)
要生成通配符证书的 CSR,请将服务器主机名放在此格式:*.domain.com
如果您想为多个域名生成 CSR,请运行此命令:
/opt/zimbra/bin/zmcertmgr createcsr comm -new -subject "/C=HK/ST=HK/L=Hong Kong/O=ZTABOX/OU=NA/CN=first.domain.com" -subjectAltNames 'second.domain.com,third.domain.com'
其中 CN - 主服务器主机名,subjectAltNames 'second.domain.com,third.domain.com' - 额外的主机名,以逗号分隔。
生成 CSR 文件后,运行此命令打开它:
cat /opt/zimbra/ssl/zimbra/commercial/commercial.csr
CSR 代码应如下所示:
复制完整的输出,包括标头 -----BEGIN CERTIFICATE REQUEST----- 和尾部 -----END CERTIFICATE REQUEST----- 以进行后续的 SSL 启用。
注意:对应的私钥将保存在此文件 /opt/zimbra/ssl/zimbra/commercial/commercial.key 中。
该文件将在此或其他服务器上安装 SSL 证书时需要。