知識庫

在 Zimbra 安裝 SSL 證書

一旦帶有CSR代碼的SSL訂單被激活,並且滿足所有驗證要求,SSL證書將會發佈並發送到您的管理聯絡電子郵件地址。收到SSL證書後,您可以開始安裝過程。

Zimbra郵件服務器支持兩種SSL安裝方式:

  • Zimbra管理控制台(網絡界面)
  • Zimbra證書管理器(命令行界面)。

通過Zimbra管理控制台安裝SSL證書

  1. 從主菜單左側的列表中單擊 '配置':

    2. instzim1

  2. 在下一個窗口中,單擊 '證書' 並選擇 '安裝證書' 選項:

    3. instzim2

  3. 您將看到一個單獨的窗口,您需要選擇所需的郵件服務器。之後單擊 '下一步':

    4. instzim3

  4. 選擇 '安裝商業簽名證書' 選項以開始安裝過程:

    5. instzim4

  5. 檢查所有用於CSR生成的信息。如果信息正確,請單擊 '下一步' 按鈕:

    6. instzim5

  6. 上傳從證書授權機構獲得的SSL證書文件、根證書和中間證書。如果中間和根證書是以一個捆綁文件形式獲得的,您可以在這裡分開下載它們。

    instzim6

  7. 在下一步中,單擊 '安裝' 以安裝所選的SSL證書。安裝過程可能需要幾分鐘:

    8. instzim7

  8. 當SSL安裝過程完成後,您將看到通知:

    9. instzim8

  9. 要應用更改,您需要以zimbra用戶的身份重啟Zimbra服務,請在CLI會話中執行以下命令:

    10. sudo su
    su zimbra

    成功切換到zimbra用戶後,運行此命令以重啟服務:

    zmcontrol restart

  10. 當所有服務重新啟動後,可以在這裡檢查新的SSL證書詳細信息:

    11. instzim9

SSL證書已成功安裝於以下服務:

LDAP服務:端口389
郵箱服務:端口8443、7071
MTA服務:端口25(SMTP TLS)、465(SMTP SSL)、7110(POP3 TLS)、7143(IMAP TLS)、7993(IMAP SSL)、7995(POP3 SSL)
代理服務:端口443、110(POP3 TLS)、143(IMAP TLS)、993(IMAP SSL)、995(POP3 SSL)。

instzim10

您可以使用這個在線工具檢查SSL安裝情況:這裡.

通過Zimbra證書管理器(命令行界面)安裝SSL證書

Zimbra包中有'zmcertmgr'工具來管理SSL證書。
對於8.6或更早版本,這個工具必須以root身份運行。在終端運行此命令以切換到root用戶:

sudo su

從8.7版本開始,這個工具應以zimbra用戶身份運行。
運行以下命令以從默認用戶切換到zimbra用戶:

sudo su
su zimbra

  1. 為了開始安裝過程,您需要將SSL證書文件(server_domain_com.crt)和CA捆綁文件(server_domain_com.ca-bundle)上傳到您的主機服務器上的任意文件夾,作為臨時存放。這個示例中,SSL文件已上傳到/opt/目錄。
  2. 驗證您從證書授權機構獲得的證書是否與CSR生成時生成的私鑰匹配:/opt/zimbra/bin/zmcertmgr verifycrt comm
    /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    3. 輸出應如下所示:

    instzim11

  3. 部署您的商業證書。
    /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    4. 成功的輸出應如下所示:

    instzim12

  4. 驗證已正確部署的證書。
    /opt/zimbra/bin/zmcertmgr viewdeployedcrt

    5. 例如,PositiveSSL證書的詳細信息將如下所示:

    instzim13

  5. 要應用更改,您需要以zimbra用戶身份重啟Zimbra服務:

sudo su
su zimbra

成功切換到zimbra用戶後,運行此命令以重啟服務:

zmcontrol restart

當所有服務重新啟動後,可以使用這個在線工具檢查新的SSL證書詳細信息:這裡.

如何為Zimbra部署在其他主機服務器上安裝的多域SSL證書或SSL通配符證書?

  1. 將SSL證書文件(server_domain_com.crt)、CA捆綁文件(server_domain_com.ca-bundle)和私鑰(commercial.key)複製到主機服務器的任意文件夾,作為臨時存放。在這個示例中,SSL文件已上傳到/opt/目錄。
  2. 將私鑰從臨時位置複製到商業證書的默認文件夾。

    3. cp /opt/commercial.key /opt/zimbra/ssl/zimbra/commercial/

  3. 為私鑰設置默認權限。

    4. chmod 640 /opt/zimbra/ssl/zimbra/commercial/commercial.key

  4. 驗證您從證書授權機構獲得的證書是否與私鑰匹配。

    5. /opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    輸出應如下所示:

    instzim11

  5. 部署您的商業證書。

    6. /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/server_domain_com.crt /opt/server_domain_com.ca-bundle

    成功的輸出應如下所示:

    instzim12

  6. 驗證已正確部署的證書。

    7. /opt/zimbra/bin/zmcertmgr viewdeployedcrt

    例如,PositiveSSL證書的詳細信息將如下所示:

    instzim13

  7. 要應用更改,您需要在終端以zimbra用戶身份重啟Zimbra服務:

sudo su
su zimbra

成功切換到zimbra用戶後,運行此命令以重啟服務:

zmcontrol restart

當所有服務重新啟動後,可以使用這個在線工具檢查新的SSL證書詳細信息:這裡.