知识库

在 Zimbra 安装 SSL 证书

一旦带有CSR代码的SSL订单被激活,并且满足所有验证要求,SSL证书将会发布并发送到您的管理联络电子邮件地址。收到SSL证书后,您可以开始安装过程。

Zimbra邮件服务器支持两种SSL安装方式:

  • Zimbra管理控制台(网络界面)
  • Zimbra证书管理器(命令行界面)。

通过Zimbra管理控制台安装SSL证书

  1. 从主菜单左侧的列表中单击 '配置':

    2. instzim1

  2. 在下一个窗口中,单击 '证书' 并选择 '安装证书' 选项:

    3. instzim2

  3. 您将看到一个单独的窗口,您需要选择所需的邮件服务器。之后单击 '下一步':

    4. instzim3

  4. 选择 '安装商业签名证书' 选项以开始安装过程:

    5. instzim4

  5. 检查所有用于CSR生成的信息。如果信息正确,请单击 '下一步' 按钮:

    6. instzim5

  6. 上传从证书授权机构获得的SSL证书文件、根证书和中间证书。如果中间和根证书是以一个捆绑文件形式获得的,您可以在这里分开下载它们。

    instzim6

  7. 在下一步中,单击 '安装' 以安装所选的SSL证书。安装过程可能需要几分钟:

    8. instzim7

  8. 当SSL安装过程完成后,您将看到通知:

    9. instzim8

  9. 要应用更改,您需要以zimbra用户的身份重启Zimbra服务,请在CLI会话中执行以下命令:

    10. sudo su
    su zimbra

    成功切换到zimbra用户后,运行此命令以重启服务:

    zmcontrol restart

  10. 当所有服务重新启动后,可以在这里检查新的SSL证书详细信息:

    11. instzim9

SSL证书已成功安装于以下服务:

LDAP服务:端口389
邮箱服务:端口8443、7071
MTA服务:端口25(SMTP TLS)、465(SMTP SSL)、7110(POP3 TLS)、7143(IMAP TLS)、7993(IMAP SSL)、7995(POP3 SSL)
代理服务:端口443、110(POP3 TLS)、143(IMAP TLS)、993(IMAP SSL)、995(POP3 SSL)。

instzim10

您可以使用这个在线工具检查SSL安装情况:这里.

通过Zimbra证书管理器(命令行界面)安装SSL证书

Zimbra包中有'zmcertmgr'工具来管理SSL证书。
对于8.6或更早版本,这个工具必须以root身份运行。在终端运行此命令以切换到root用户:

sudo su

从8.7版本开始,这个工具应以zimbra用户身份运行。
运行以下命令以从默认用户切换到zimbra用户:

sudo su
su zimbra

  1. 为了开始安装过程,您需要将SSL证书文件(server_domain_com.crt)和CA捆绑文件(server_domain_com.ca-bundle)上传到您的主机服务器上的任意活页夹,作为临时存放。这个示例中,SSL文件已上传到/opt/目录。
  2. 验证您从证书授权机构获得的证书是否与CSR生成时生成的私钥匹配:/opt/zimbra/bin/zmcertmgr verifycrt comm
    /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    3. 输出应如下所示:

    instzim11

  3. 部署您的商业证书。
    /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    4. 成功的输出应如下所示:

    instzim12

  4. 验证已正确部署的证书。
    /opt/zimbra/bin/zmcertmgr viewdeployedcrt

    5. 例如,PositiveSSL证书的详细信息将如下所示:

    instzim13

  5. 要应用更改,您需要以zimbra用户身份重启Zimbra服务:

sudo su
su zimbra

成功切换到zimbra用户后,运行此命令以重启服务:

zmcontrol restart

当所有服务重新启动后,可以使用这个在线工具检查新的SSL证书详细信息:这里.

如何为Zimbra部署在其他主机服务器上安装的多域SSL证书或SSL通配符证书?

  1. 将SSL证书文件(server_domain_com.crt)、CA捆绑文件(server_domain_com.ca-bundle)和私钥(commercial.key)复制到主机服务器的任意活页夹,作为临时存放。在这个示例中,SSL文件已上传到/opt/目录。
  2. 将私钥从临时位置复制到商业证书的默认活页夹。

    3. cp /opt/commercial.key /opt/zimbra/ssl/zimbra/commercial/

  3. 为私钥设置默认权限。

    4. chmod 640 /opt/zimbra/ssl/zimbra/commercial/commercial.key

  4. 验证您从证书授权机构获得的证书是否与私钥匹配。

    5. /opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    输出应如下所示:

    instzim11

  5. 部署您的商业证书。

    6. /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    成功的输出应如下所示:

    instzim12

  6. 验证已正确部署的证书。

    7. /opt/zimbra/bin/zmcertmgr viewdeployedcrt

    例如,PositiveSSL证书的详细信息将如下所示:

    instzim13

  7. 要应用更改,您需要在终端以zimbra用户身份重启Zimbra服务:

sudo su
su zimbra

成功切换到zimbra用户后,运行此命令以重启服务:

zmcontrol restart

当所有服务重新启动后,可以使用这个在线工具检查新的SSL证书详细信息:这里.