📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt |

📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt | Сертификаты

Генерация нового сертификата

Генерируем сертификат, можно добавить домен с www, если он не настроен, то его можно не генерировать:

Добавление доверенного ssl сертификата в зимбру | мои заметки

Началось всё с того, что некоторые браузеры начали жаловаться на зимбравский SSL-сертификат, выдавая вот такие ошибки (пара примеров).
Вот Firefox:

📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt |

или вот андроидная opera:

📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt |

Т.е. им больше не нравится ключ Диффи-Хелемана и они отказываются заходить на вэб-интерфейс Зимбры.

Конкретно эта проблема решается вот таким образом:

su zimbra
zmprov mcf zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
zmprov mcf zimbraSSLExcludeCipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
zmprov mcf zimbraSSLExcludeCipherSuites SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
zmmailboxdctl restart
exit

Проблемные шифры отключаются.

Но раз уж я взялся за Зимбру, то за одним решил и доверенный SSL сертификат к ней прикрутить. Для этого в Зимбре есть штатные средства.

Для начала, надо где-то заполучить этот самый доверенный сертификат. Сделать это несложно. И этот процесс я описывал недавно в это статье:

https://my-sertif.ru/obshaya/freebsd/adding-free-trusted-ssl-certificate-on-your-site

Значит, получаю аналогично сертификат от WoSign, скачиваю его и копирую на сервер с Зимброй.
В архиве я вижу ещё несколько вложенных архивов, в которых содержатся готовые сертификаты для разных вэб-серверов. Меня интересует «for Other Server.zip». Именно он, несмотря на то, что там есть и конкретно для апача сертификат.

Надо импортировать доверенный сертификат в Зимбру. Делаю вот поэтому мануалу:

http://my-sertif.ru/wiki/Fix_depth_lookup:unable_to_get_issuer_certificate

Описываю этот процесс пошагово. Значит, распаковываю содержимое архива «for Other Server.zip» в какой-нибудь отдельный каталог. И, находясь в этом каталоге, выполняю команды. Выполняю под рутом! Собираю все сертификаты корневого центра в один файл:

cat root.crt 1_cross_Intermediate.crt 2_issuer_Intermediate.crt > ca_bundle.crt

копирую его в специальный зимбровский каталог:

cp ca_bundle.crt /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Проверяю, не нарушена ли цепочка сертификатов:

/opt/zimbra/bin/zmcertmgr verifycrt comm 4_user_yourdomain.ru.key 3_user_yourdomain.ru.crt

Если всё в порядке, то вывод должен быть такой:

** Verifying 3_user_yourdomain.ru.crt against 4_user_yourdomain.ru.key
Certificate (3_user_yourdomain.ru.crt) and private key (4_user_yourdomain.ru.key) match.
Valid Certificate: 3_user_yourdomain.ru.crt: OK

Копирую ключ в специальный зимбровский каталог:

cp 4_user_yourdomain.ru.key /opt/zimbra/ssl/zimbra/commercial/commercial.key

И размещаю сертификаты в зимбре:

/opt/zimbra/bin/zmcertmgr deploycrt comm 3_user_yourdomain.ru.crt ca_bundle.crt

Вывод команды должен быть таким:

** Verifying 3_user_yourdomain.ru.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (3_user_yourdomain.ru.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: 3_user_yourdomain.ru.crt: OK
** Copying 3_user_yourdomain.ru.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain ca_bundle.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.

Как видно из этого вывода, Зимбра будет использовать этот сертификат для всех своих сервисов, таких как pop, imap и другие, а не только для вэб-интерфейса. Проверяю размещённый сертификат:

# /opt/zimbra/bin/zmcertmgr viewdeployedcrt
::service mta::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service proxy::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yyourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service mailboxd::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru
::service ldap::
notBefore=Aug 23 13:24:24 2021 GMT
notAfter=Aug 23 13:24:24 2021 GMT
subject= /CN=yourdomain.ru
issuer= /C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
SubjectAltName= yourdomain.ru, yourdomain1.ru, yourdomain2.ru, yourdomain3.ru

Всё, сертификат в порядке. Теперь надо перезапустить Зимбру и можно наблюдать, что HTTPS-соединение устанавливается уже с новым сертификатом, и браузер на него не жалуется:

Про сертификаты:  Утеплитель Пеноплекс Основа | интернет-магазин ТАЛАН

📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt |

Импорт сертификата zimbra с помощью групповых политик (gpo)

Выше мы рассмотрели как установить сертификат на единичную машину, а если машин не один десяток, то удобней и логичней будет импортировать сертификаты на клиентские машины посредством групповых политик (GPO). Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов. Создавать групповую политику мы будем на примере Windows Server 2021 R2.

Открываем оснастку Group Policy Management (Управление групповой политикой), создаем новую политику ZimbraCertificate.

Теперь щелкнем на политику правой кнопкой мыши и выберем Edit… (Изменить).

В открывшемся редакторе групповых политик последовательно разворачиваем Computer Configuration (Конфигурация компьютера) — Policies (Политики) — Windows Settings (Конфигурация Windows) — Security Settings (Параметры безопасности)

— Public Key Policies (Политики открытого ключа) — Trusted Root Certification Authorities (Доверенные корневые центры сертификации). В правой части окна в меню правой кнопкой мыши выбираем Import… (Импорт) и импортируем сертификат.

Нажимаем Browse… (Обзор) и выбираем сертификат который будем импортировать. Нажимаем Next.
📧 Безопасный сервер Zimbra с SSL-сертификатом Lets Encrypt |

Оставляем выбор без изменений, нажимаем Next.

Жмем Finish для завершения добавления сертификата.

Видим что сертификат успешно добавлен в политику, теперь он будет автоматически импортироваться всем пользователям на которых распространяется данная политика.

Проверим, сделаем LogOff/LogOn машины на которую применяется данная политика и посмотрим импортировался ли сертификат. Как видим сертификат успешно импортировался.

На это все, мы разобрали как экспортировать и импортировать сертификат Zimbra.

Обновление и установка let’s encrypt сертификата на zimbra 8.7 и выше

Сначала нужно отключить вэб-сервисы zimbra для того, что б можно было получить сертификаты. Это делается от имени пользователя zimbra.

zmproxyctl stop
zmmailboxdctl stop

Далее выходим из пользователя zimbra и загружаем letsencrypt

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

Создаем, собственно, сертификаты следующей командой:

./letsencrypt-auto certonly --standalone

Программа запросит у Вас названия доменов для которых нужно создать сертификаты (их нужно вводить через пробел или запятую).

Если Вы создаете сертификаты, а не обновляете – программа может еще запросить email адрес для контакта, в случае чего.

При обновлении сертификатов – процесс занимает несколько секунд, при создании с нуля – чуть дольше.

Про сертификаты:  Сертификация краски в Ростове-на-Дону - особенности оформления документов

Теперь нам нужно зайти в папку где находятся наши, только-что созданные, сертификаты. Они хранятся по следующему пути: /etc/letsencrypt/live/домен

Переходим в эту папку, там должны быть следующие файлы:

  • cert.pem
  • chain.pem
  • fullchain.pem
  • privkey.pem

Теперь нам нужно немного изменить файл chain.pem: в конец файла с новой строки нужно добавить корневой сертификат.

-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd 3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt /yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4 U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62 FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or Dxz9LwwmglSBd49lZRNI DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX 5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

В конечном итоге Ваш файл должен выглядеть следующим образом:

-----BEGIN CERTIFICATE-----
ВАШ СЕРТИФИКАТ
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd 3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt /yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4 U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62 FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or Dxz9LwwmglSBd49lZRNI DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX 5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Далее нужно создать папку letsencrypt, куда мы скопируем измененные файлы сертификатов:

mkdir /opt/zimbra/ssl/letsencrypt
cp /etc/letsencrypt/live/ваш домен/* /opt/zimbra/ssl/letsencrypt/
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
ls -la /opt/zimbra/ssl/letsencrypt/

Теперь нам нужно проверить созданные нами сертификаты, для этого вводим следующие команды от пользователя zimbra:

cd /opt/zimbra/ssl/letsencrypt/
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem

Если же нет никаких ошибок – устанавливаем сертификат в Zimbra.

Сначала сохраним старый, на всякий случай:

cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date " %Y%m%d")

Теперь скопируем новый:

cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

И, собственно, пропишем его в Zimbra:

/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem 

Теперь перезагружаем все сервисы zimbra:

zmcontrol restart

И всё, наслаждаемся новым или обновлённым сертификатом)))

Проверка сертификатов

После того как мы получили сертификаты, необходимо их проверить с помощью сервера Zimbra.Для этого создадим папку letsencrypt и скопируем туда полученные сертификаты:mkdir /opt/zimbra/ssl/letsencryptcp /etc/letsencrypt/live/test.my.domain/* /opt/zimbra/ssl/letsencrypt/

Назначим права на эти файлы для пользователя zimbra и проведем верификацию:chown -Rfv zimbra:zimbra /opt/zimbra/ssl/letsencrypt/sudo su – zimbra -c “zmcertmgr verifycrt comm /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem”** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/privkey.

pem’Certificate ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ and private key ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’ match.** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem’Valid certificate chain: /opt/zimbra/ssl/letsencrypt/cert.pem: OK

Если проверка завершилась неудачно, то проверяйте как собрался IdenTrust, скорей всего ошибка в нём:** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’Certificate ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ and private key ‘/opt/zimbra/ssl/letsencrypt/privkey.pem’ match.

** Verifying ‘/opt/zimbra/ssl/letsencrypt/cert.pem’ against ‘/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem’ERROR: Unable to validate certificate chain: /opt/zimbra/ssl/letsencrypt/cert.pem: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3error 2 at 1 depth lookup:unable to get issuer certificate

Установка ssl сертификата на сервер zimbra —

Небольшая заметка о том, как установить имеющийся сертификат на сервер Zimbra

Перед установкой проверяю, что есть все необходимые сертификаты и ключи, а именно:

  • Цепочка сертификатов удостоверяющего центра, например commercial_ca.crt
  • Выданный на домен или wildcard сертификат, например commercial.crt
  • Выданный на домен или wildcard приватный ключ, например commercial.key

Важно, что приватный ключ должен находится в директории /opt/zimbra/ssl/zimbra/commercial/commercial.key
Сертификаты можно положить в любое место, например в /tmp.

Что бы проверить, что ключ соответствует сертификату выполняю от имени root:
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt

Если все хорошо, в ответ получаю:

** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK

После этогоустанавливаю сертифкат на сервер и перезапускаю сервис zimbra (от имени root):
/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt && su - zimbra -c 'zmcontrol restart'

Обращаю внимание, что в случае мультисерверной установки достаточно установить сертификат на zimbra-proxy.

Установка сертификатов

Для установки сертификатов имеет смысл сделать бэкап текущихКопируется файл rivkey.pem в /opt/zimbra/ssl/zimbra/commercial/commercial.key

cp/opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.keychown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.keytar -czf /opt/zimbra/ssl/zimbra-$(date “%d.%m.%y_%H.%M”).tar.gz /opt/zimbra/ssl/zimbra

Про сертификаты:  Разворачиваем школьный учебный портал на Moodle и BigBlueButton / Хабр

Останавливаем сервисы Zimbra, и загружаем новые сертификаты и после этого запускаем службы снова:sudo su – zimbra -c “zmproxyctl stop”sudo su – zimbra -c “zmmailboxdctl stop”sudo su – zimbra -c “zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem”sudo su – zimbra -c “zmcontrol restart”

Шаг 2. остановите службу прокси zimbra

Нам нужно остановить сервисы службы jetty или nginx, прежде чем мы сможем настроить сервер на использование SSL-сертификата Let Encrypt.

$ sudo su - zimbra -c "zmproxyctl stop"
Stopping proxy...done.

$ sudo su - zimbra -c "zmmailboxdctl stop"
Stopping mailboxd...done.

Шаг 3: получим ssl-сертификат lets encrypt

Когда службы Zimbra proxy и mailboxd будут остановлены, мы можем перейти к запросу Let Encrypt в автоматическом режиме.

Убедитесь, что вы передаете все имена хостов, используемые вашим почтовым сервером.

Экспорт и установка сертификата zimbra.

zimbra-certificate-000.jpgПри работе с сервером корпоративных коммуникаций Zimbra часто возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Как минимум это неудобно, да и не стоит приучать пользователей игнорировать непроверенные сертификаты. К счастью, данная проблема решается очень просто, о чем мы расскажем в этой статье.

Если мы попробуем подключиться к почтовому серверу с самоподписанным сертификатом, то получим следующее сообщение об ошибке сертификата безопасности.

zimbra-certificate-001.jpgМожно, конечно, данное предупреждение игнорировать, но, кроме неудобства, это приучает пользователей легкомысленно относится к подобным предупреждениям, что таит потенциальную угрозу безопасности.

Попробуем разобраться, что именно не нравится браузеру. Прочитав подробности ошибки становится понятно, что система не может доверять этому сертификату, так как нет доверия к выпустившему его центру сертификации.

zimbra-certificate-002.jpgНо мы, в отличие от системы, знаем, кто выпустил данный сертификат и доверяем этому центру. Чтобы система также начала доверять сертификатам данного центра сертификации нам нужно экспортировать корневой сертификат Zimbra и установить его в систему.

Перейдем на почтовый сервер и повысим права до суперпользователя:

sudo -s

Затем перейдем в папку центра сертификации и экспортируем корневой сертификат:

cd /opt/zimbra/ssl/zimbra/ca
openssl x509 -in ca.pem -outform DER -out ~/zimbra.cer

После чего корневой сертификат Zimbra будет находиться в домашней папке вашего пользователя. Чтобы скачать его можно воспользоваться любым клиентом, позволяющим передавать файлы через ssh. Например популярным FTP-клиентом Filezilla. В параметрах подключения укажите адрес сервера, учетные данные вашего пользователя и порт подключения 22. После подключения вы сразу окажетесь в своей домашней папке и сможете без проблем скачать сертификат.

zimbra-certificate-003.jpgТеперь установим его на целевой системе, для этого нужно открыть сертификат двойным щелчком и выбрать Установить сертификат. Откроется мастер импорта сертификатов, работа с которым не представляет сложности. На этапе выбора хранилища ставим переключатель в положение Поместить все сертификаты в выбранное хранилище, где выбираем Доверенные коренные центры сертификации.

zimbra-certificate-004.jpgСоглашаемся с предупреждением и завершаем установку сертификата. Теперь при подключении к почтовому серверу ошибка сертификата появляться не будет и пользователи будут видеть, что работают по защищенному соединению с доверенным ресурсом.

zimbra-certificate-005.jpgАналогичным образом сертификат следует установить на все работающие с почтовым сервером клиентские ПК. Если в вашей сети развернута ActiveDirectory то вы можете автоматически распространять сертификат с помощью групповых политик.

Оцените статью
Мой сертификат
Добавить комментарий