Экспорт и установка сертификата Zimbra

  • Михаил
  • 10 мин. на прочтение
  • 137
  • 09 Feb 2013
  • 09 Feb 2023

При работе с сервером корпоративных коммуникаций Zimbra часто возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Как минимум это неудобно, да и не стоит приучать пользователей игнорировать непроверенные сертификаты. К счастью, данная проблема решается очень просто, о чем мы расскажем в этой статье.

Попробуем разобраться, что именно не нравится браузеру. Прочитав подробности ошибки становится понятно, что система не может доверять этому сертификату, так как нет доверия к выпустившему его центру сертификации. Но мы, в отличие от системы, знаем, кто выпустил данный сертификат и доверяем этому центру. Чтобы система также начала доверять сертификатам данного центра сертификации нам нужно экспортировать корневой сертификат Zimbra и установить его в систему.

Перейдем на почтовый сервер и повысим права до суперпользователя:

sudo -s

Затем перейдем в папку центра сертификации и экспортируем корневой сертификат:

cd /opt/zimbra/ssl/zimbra/ca
openssl x509 -in ca.pem -outform DER -out ~/zimbra.cer

После чего корневой сертификат Zimbra будет находиться в домашней папке вашего пользователя. Чтобы скачать его можно воспользоваться любым клиентом, позволяющим передавать файлы через ssh.

Теперь установим его на целевой системе, для этого нужно открыть сертификат двойным щелчком и выбрать Установить сертификат. Откроется мастер импорта сертификатов, работа с которым не представляет сложности. На этапе выбора хранилища ставим переключатель в положение Поместить все сертификаты в выбранное хранилище, где выбираем Доверенные коренные центры сертификации.

Соглашаемся с предупреждением и завершаем установку сертификата.

Мы подключались по ip адресу, а хотим по доменному имени. Если это почта корпоративная то настраиваем DNS сервер, если нет DNS сервера, то будем править файл hosts.

В Windows проходим в папку и добавляем в файл hosts строчку соответствия ip адреса нашего сервера и имя.

C:\Windows\System32\drivers\etc

В конец файла добавляем.

10.10.11.55 mail.subbnet.ru

Теперь при подключении к почтовому серверу ошибка сертификата появляться не будет и пользователи будут видеть, что работают по защищенному соединению с доверенным ресурсом.

Аналогичным образом сертификат следует установить на все работающие с почтовым сервером клиентские ПК. Если в вашей сети развернута ActiveDirectory то вы можете автоматически распространять сертификат с помощью групповых политик.