Установка сертификата: NGINX | LeaderSSL

Что такое roundcube?

Roundcube —веб-интерфейс для работы с электронной почтой,  предоставляет возможность работать с вашими почтовыми ящиками используя IMAP и SMTP. Приложение обладает мощным функционалом и по возможностям сравнимо с настольными почтовыми клиентами, такими как Outlook Express или Mozilla Thunderbird

Что такое let’s encrypt

Если вкратце, то Let’s Encrypt — это новый центр сертификации (CA), предоставляющий бесплатные и автоматизированные SSL/TLS-сертификаты. На данный момент Let’s Encrypt поддерживается большинством современных браузеров, в том числе IE и даже старыми операционными системами такими как Windows Vista. По сути, все, что вам нужно знать — он бесплатный и поддерживает автоматическое обновление.

Откорректируйте названия файлов так, чтобы они
соответствовали Вашим файлам сертификатов:

ssl_certificate – на его месте должно быть название
Вашего личного SSL сертификата, скомбинированного с промежуточным и корневым
сертификатом, который Вы создали в предыдущем шаге (например, ssl-bundle.crt).

ssl_certificate_key – это файл ключа, который Вы
создали во время генерации CSR (например, your_domain.key)

Что такое ssl?

SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь.
Протокол SSL гарантирует безопасное соединение между браузером пользователя и сервером.

При использовании SSL информация передается в шифрованном виде и расшифровать ее невозможно без ключа.

Что такое exim?

Exim – это агент пересылки почты (MTA), который обычно используется в Unix-подобных операционных системах. Exim – это бесплатное программное обеспечение, которое распространяется в соответствии с условиями GNU (General Public License), является универсальным и гибким почтовым средством с обширными возможностями для проверки входящей электронной почты.

Что такое dovecot?

Dovecot – это почтовый сервер с открытым исходным кодом IMAP и POP3 для Linux / UNIX-подобных систем. Безопасность стала краеугольным камнем в создании данного продукта нацеленного на гибкость и быстродействие.Dovecot – это прекрасный выбор как для небольших, так и для крупных почтовых систем.

Коммерческий ssl сертификат для почтового сервера zimbra – записки краснодарского сисадмина

https://www.tbs-certificates.co.uk/FAQ/en/racine-USERTrustRSACertificationAuthority.html

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/mail.himindustrija.com.crt /tmp/mail.himindustrija.com.ca-bundle

Если всё нормально, получаем об этом сообщение
** Verifying '/tmp/mail.himindustrija.com.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'Certificate '/tmp/mail.himindustrija.com.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match.** Verifying '/tmp/mail.himindustrija.com.crt' against '/tmp/mail.himindustrija.com.ca-bundle'Valid certificate chain: /tmp/mail.himindustrija.com.crt: OK

/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/mail.himindustrija.com.crt /tmp/mail.himindustrija.com.ca-bundle

** Fixing newlines in '/tmp/mail.himindustrija.com.crt'Can't rename /tmp/mail.himindustrija.com.crt to /tmp/mail.himindustrija.com.crt.bak: Operation not permitted, skipping file at /opt/zimbra/bin/zmcertmgr line 1239.** Fixing newlines in '/tmp/mail.himindustrija.com.ca-bundle'Can't rename /tmp/mail.himindustrija.com.ca-bundle to /tmp/mail.himindustrija.com.ca-bundle.bak: Operation not permitted, skipping file at /opt/zimbra/bin/zmcertmgr line 1239.** Verifying '/tmp/mail.himindustrija.com.crt' against '/opt/zimbra/ssl/zimbra/commercial/commercial.key'Certificate '/tmp/mail.himindustrija.com.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' match.** Verifying '/tmp/mail.himindustrija.com.crt' against '/tmp/mail.himindustrija.com.ca-bundle'Valid certificate chain: /tmp/mail.himindustrija.com.crt: OK** Copying '/tmp/mail.himindustrija.com.crt' to '/opt/zimbra/ssl/zimbra/commercial/commercial.crt'** Copying '/tmp/mail.himindustrija.com.ca-bundle' to '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt'** Appending ca chain '/tmp/mail.himindustrija.com.ca-bundle' to '/opt/zimbra/ssl/zimbra/commercial/commercial.crt'** Importing cert '/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt' as 'zcs-user-commercial_ca' into cacerts '/opt/zimbra/common/lib/jvm/java/lib/security/cacerts'** NOTE: restart mailboxd to use the imported certificate.** Saving config key 'zimbraSSLCertificate' via zmprov modifyServer mail.himindustrija.com...ok** Saving config key 'zimbraSSLPrivateKey' via zmprov modifyServer mail.himindustrija.com...ok** Installing imapd certificate '/opt/zimbra/conf/imapd.crt' and key '/opt/zimbra/conf/imapd.key'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/imapd.crt'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/imapd.key'** Creating file '/opt/zimbra/ssl/zimbra/jetty.pkcs12'** Creating keystore '/opt/zimbra/conf/imapd.keystore'** Installing ldap certificate '/opt/zimbra/conf/slapd.crt' and key '/opt/zimbra/conf/slapd.key'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/slapd.crt'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/slapd.key'** Creating file '/opt/zimbra/ssl/zimbra/jetty.pkcs12'** Creating keystore '/opt/zimbra/mailboxd/etc/keystore'** Installing mta certificate '/opt/zimbra/conf/smtpd.crt' and key '/opt/zimbra/conf/smtpd.key'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/smtpd.crt'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/smtpd.key'** Installing proxy certificate '/opt/zimbra/conf/nginx.crt' and key '/opt/zimbra/conf/nginx.key'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.crt' to '/opt/zimbra/conf/nginx.crt'** Copying '/opt/zimbra/ssl/zimbra/commercial/commercial.key' to '/opt/zimbra/conf/nginx.key'** NOTE: restart services to use the new certificates.** Cleaning up 3 files from '/opt/zimbra/conf/ca'** Removing /opt/zimbra/conf/ca/ca.key** Removing /opt/zimbra/conf/ca/ca.pem** Removing /opt/zimbra/conf/ca/89b766bc.0** Copying CA to /opt/zimbra/conf/ca** Copying '/opt/zimbra/ssl/zimbra/ca/ca.key' to '/opt/zimbra/conf/ca/ca.key'** Copying '/opt/zimbra/ssl/zimbra/ca/ca.pem' to '/opt/zimbra/conf/ca/ca.pem'** Creating CA hash symlink '89b766bc.0' -> 'ca.pem'** Creating /opt/zimbra/conf/ca/commercial_ca_1.crt** Creating CA hash symlink 'fc5a8f99.0' -> 'commercial_ca_1.crt'** Creating /opt/zimbra/conf/ca/commercial_ca_2.crt** Creating CA hash symlink '65ff7287.0' -> 'commercial_ca_2.crt'** Creating /opt/zimbra/conf/ca/commercial_ca_3.crt** Creating CA hash symlink 'fc5a8f99.1' -> 'commercial_ca_3.crt'

/opt/zimbra/bin/zmcertmgr viewdeployedcrt

- imapd: /opt/zimbra/conf/imapd.crtnotBefore=Apr 21 00:00:00 2020 GMTnotAfter=Apr 21 23:59:59 2022 GMTsubject= /CN=mail.himindustrija.comissuer= /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CASubjectAltName=mail.himindustrija.com, mail.himindustria.com, mail.himindustria.ru- ldap: /opt/zimbra/conf/slapd.crtnotBefore=Apr 21 00:00:00 2020 GMTnotAfter=Apr 21 23:59:59 2022 GMTsubject= /CN=mail.himindustrija.comissuer= /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CASubjectAltName=mail.himindustrija.com, mail.himindustria.com, mail.himindustria.ru- mailboxd: /opt/zimbra/mailboxd/etc/mailboxd.pemnotBefore=Apr 21 00:00:00 2020 GMTnotAfter=Apr 21 23:59:59 2022 GMTsubject= /CN=mail.himindustrija.comissuer= /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CASubjectAltName=mail.himindustrija.com, mail.himindustria.com, mail.himindustria.ru- mta: /opt/zimbra/conf/smtpd.crtnotBefore=Apr 21 00:00:00 2020 GMTnotAfter=Apr 21 23:59:59 2022 GMTsubject= /CN=mail.himindustrija.comissuer= /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CASubjectAltName=mail.himindustrija.com, mail.himindustria.com, mail.himindustria.ru- proxy: /opt/zimbra/conf/nginx.crtnotBefore=Apr 21 00:00:00 2020 GMTnotAfter=Apr 21 23:59:59 2022 GMTsubject= /CN=mail.himindustrija.comissuer= /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CASubjectAltName=mail.himindustrija.com, mail.himindustria.com, mail.himindustria.ru

zmcontrol restart

Что делать, если сертификат не устанавливается и битрикс машина выдает ошибку?

Мое знакомство с данным новшеством прошло именно так: после настройки сертификата фоновая задача в машине завершалась с ошибкой:

---------------------------------------------------------
TaskID                      |    Status | Last Step
----------------------------------------------------------
site_certificate_1113161018 |    error |  play|complete

Смотрим логи и выясняем подробности. Директория /opt/webdir/temp содержит логи задач, смотрим по нашей задаче site_certificate_1113161018.

Первый лог /opt/webdir/temp/site_certificate_1113161018/status, в нем есть строчка с прерыванием, а также видим и второй лог:

Объедините Ваш личный сертификат и цепочку сертификатов одним из
способов:

Для этого следует соединить файл Вашего сертификата (your_domain.crt )
с файлом сертификатов промежуточного и корневого центров сертификации (somename.ca-bundle).
Это можно сделать, задав следующую команду:

cat your_domain.crt  somename.ca-bundle  >> ssl-bundle.crt

или

откройте в текстовом редакторе оба файла (your_domain.crt 
и somename.ca-bundle)

и поместите содержимое your_domain.crt  выше
содержимого файла somename.ca-bundle

и сохраните как  ssl-bundle.crt

Forward secrecy

Для включения Forward Secrecy можно использовать например такой набор шифров:

ssl_ciphers "EECDH ECDSA AESGCM EECDH aRSA AESGCM EECDH ECDSA SHA384 EECDH ECDSA SHA256 EECDH aRSA SHA384 EECDH aRSA SHA256 EECDH aRSA RC4 EECDH EDH aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

Кроме того, необходимо настроить приоритет шифров OpenSSL:

openssl ciphers -V 'EECDH ECDSA AESGCM EECDH aRSA AESGCM EECDH ECDSA SHA256 EECDH aRSA SHA256 EECDH aRSA RC4 EDH aRSA EECDH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS'

В данном варианте не запрещается использование RC4 для сохранения совместимости с некоторыми браузерами, однако не так давно

, хоть и практически трудно реализуемые.

Для усиления шифрования можно увеличить стойкость DH-шифров, создав файл параметров DH-шифров (создание файла займет некоторое время!), скажем длинной 4096 бит:

openssl dhparam -out dh4096.pem 4096

И добавив в конфиг nginx директиву

ssl_dhparam dh4096.pem;

Это можно делать для скажем для веб-интерфейсов управления сервером/службами, однако хендшейк будет происходить еще дольше, поэтому не стоит делать это на обычном сайте.

Note: this should be the preferred method of installation as any error messages, if any, are hidden by zimbra’s webgui when using it. so if something goes wrong, you’ll get the error message from the zm commands directly instead of something cryptic that is of no use.

Place the signed certificate in the file certificate and the root and intermediate certificates in the file root interm. Please make sure that the files are placed locally to where you run the command or specify the full paths:

cat >deploy <<eofzmcertmgr deploycrt comm certificate root intermeofchmod x deploy

Alternative Method

Remember! you have to replace the /opt/ directory and the certificate name, with your own location, and details.

• Upload your certificate file: /opt/yourwebsite_com.crt
• Upload your CA bundle file: /opt/yourwebsite_com.ca-bundle
  
  

  Note: Your CA bundle must contain the root certificate, as well as all the intermediate certificates.

Test your ssl installation

After you install an SSL Certificate on Zimbra, it’s important to scan it for potential vulnerabilities. Better catch them early, then watch your site displaying SSL related errors. Use one of these high-end SSL tools to get instant status reports on your SSL certificate.

Where to buy an ssl certificate for zimbra?

The best place to buy an SSL Certificate for your Zimbra server is from a reliable SSL reseller such as SSL Dragon. Along with the lowest prices anywhere on the market, we offer regular discounts and great deals on all our SSL products. All our certificates are compatible with Zimbra, and you can always use our exclusive tools such as SSL Wizard and Advanced Certificate Filter to find the ideal SSL product for your website. We offer the following types of certificates:

SSL Dragon takes care of your sensitive data security, so your website or business can thrive online!

If you find any inaccuracies, or you have details to add to these SSL installation instructions, please feel free to send us your feedback at [email protected]. Your input would be greatly appreciated! Thank you.

Zimbra history and versions

Zimbra is an email server and web client, similar to Microsoft Exchange and Outlook. Since its first release as a collaborative software in 2005, Zimbra has changed several owners, among them, the prominent Yahoo! Today, Zimbra is owned by Synacor Inc, a technology and services company based in Buffalo, New York.

Former Zimbra president and CTO Scott Dietzen revealed on his blog the origin of Zimbra’s name. It derives from the song “I Zimbra”, from the 1979 album Fear of Music by the American new wave band Talking Heads.

Below, you’ll find all the major Zimbra releases:

• Zimbra8.8.9 GA Release (codename Curie) – released on 07-10-2021
• Zimbra 8.8.8 GA Release (codename Turin) – released on 04-02-2021
• Zimbra 8.8 GA Release (codename JudasPriest) – released on 12-12-2021
• Zimbra 8.7.0 GA Release (codename JudasPriest) – released on 07-13-2021
• Zimbra 8.6.0 GA Release (codename JudasPriest) – released on 12-15-2021 (no longer supported)
• Zimbra 8.5.0 GA Release (codename JudasPriest) – released on 08-28-2021 (no longer supported).

Бесплатные wildcard ssl сертификаты let’s encrypt для поддоменов

Чтобы выпустить wildcard сертификат Let’s Encrypt для всех поддоменов, используется другая команда. Кроме того, в DNS настройках вашего домена нужно создать специальную txt-запись. Чтобы выпустить wildcard сертификат для поддоменов, в директории /opt/letsencrypt/ запустите команду:

Выпуск ssl сертификатов для exchange сервера

Цифровые сертификаты очень важны в любой Exchange организации. Именно с их помощью обеспечивается защищенный обмен между клиентами и компонентами почтовой инфраструктуры. По умолчанию, Exchange Server настроен на использование протокола TLS с помощью самоподписанных сертификатов.

Однако, для подключения Outlook клиентов такая конфигурация не совсем корректна. В качестве решения, рекомендуется использовать корпоративную PKI инфраструктуру, на базе ADCS. Службы сертификатов будут работать внутри корпоративного периметра обеспечивая поддержку не только Exchange, но и других криптографических задач предприятия.

Для выпуска сертификата, переходим во вкладку (servers) и открываем раздел (certificates).  Заказываем выпуск нового сертификата:

Выбираем первый пункт (Create a request for a certificate from a certification authority) так как использование самоподписанных сертификатов не предполагается:

Указываем отображаемое имя будущего сертификата:

Далее, возможно настроить получение сертификата типа wildcard. Хоть и последние версии Exchange корректно работают с данным типом, я предпочитаю его не использовать. Оставляем без изменений и переходим на следующую страницу.

Указываем сервер на котором будет создан сертификат, т. к. закрытый ключ ключевой пары не покидает Exchange сервер:

Следующий шаг пропускаем не меняя настройки. Далее, подправляем домены на следующие:

• mail.corp.ait.in.ua
• mail.ait.in.ua
• autodiscover.ait.in.ua
• autodiscover.corp.ait.in.ua
• kv-ex01
• kv-ex01.corp.ait.in.ua

где, my-sertif.ru почтовый домен и corp.my-sertif.ru — домен Active Directory. kv-ex01 и kv-ex01.corp.my-sertif.ru — имена сервера. Запись autodiscover необходима для функционирования сервиса автоматического обнаружения почтовой конфигурации клиентами Outlook и ActiveSync. Она должна обязательно присутствовать в теле сертификата.

На следующем шаге необходимо определить расположение для сохранения CSR запроса. В последствии, он будет передан во внешним ЦС. Так как учетная запись Exchange сервера является членом группы Trasted Sybsystems, возможно использовать общими административными каталогами.

Для этого указываем следующий UNC путь — \kv—ex01.corp.my-sertif.ruC$req.req Файл req.req содержащий CSR запрос будет создан в корне системного диска.

Для задачи подписания, можно воспользоваться CertificateEnrollmentWebService. Этот компонент упрощает процесс предоставляя веб приложения для этих целей. По умолчанию, CEWS доступен в каталоге /certsrv сервера.

Перейдя на него, необходимо заказать запрос сертификата (Requestacertificate).

Выбираем расширенный тип запроса (advanced certificate request):

Вставляем содержимое CSR запроса. Из списка доступных шаблонов сертификатов выбираем Web Server:

Скачиваем файл цифрового сертификата:

Загружаем сертификат в корень системного диска Exchange сервера:

В той же вкладке certificates необходимо завершить процедуру выпуска «подложив» подписанный сертификат. Для этого выбираем действие Complete:

В открывшейся окне указываем UNC путь к файлу, который ранее был загружен в корень системного диска.

После завершения операции, сертификат готов к использованию в компонентах сервера. Для его назначения сервисам нажимаем на иконку «карандаш»:

и выбираем сервисы IIS, SMTP:

После применения, необходимо перезапустить браузер. При условии корректно настроенных служб сертификатов Active directory предупреждение о недоверенном сертификате в строке браузера должно исчезнуть. Клиенты Outlook также не выдадут предупреждение при попытке подключения к серверу.

Добавление обслуживаемого домена (accepted domains)

Обслуживаемый домен (accepted domains) — это домен, который используется Exchange организацией для получения и отправки почтового трафика. В рамках него (типы Authoritative и Internal Relay) могут формироваться почтовые адреса пользователей, общих почтовых ящиков, групп распространения и других объектов Exchange которым возможно назначить почтовый адрес.По умолчанию, сразу же после развертывания, доступен лишь один обслуживаемый домен:

Имя его соответствует домену Active Directory. Всего существует три типа обслуживаемых доменов:

1. Уполномоченный домен (Authoritative)
2. Домен внутренней ретрансляции (InternalRelay)
3. Внешний домен ретрансляции (ExternalRelay)

Домены первого типа полностью обслуживаются Exchange организацией. При поступлении на него входящего письма происходит поиск почтового адреса в глобальном каталоге Active Directory. В случае его отсутствия будет возвращен NDR (Not Delivery Report).

Домен внутренней ретрансляции применяется тогда, когда адресное пространство используется совместно с другой почтовой инфраструктурой. Логика работы такая же, как и в первом типе, но при отсутствии почтового адреса в глобальном каталоге возможно перенаправление письма на другой SMTP шлюз.

Последний тип используется в задачах перенаправления входящих писем на внешний SMTP шлюз тогда, когда нет надобности в использовании одного адресного пространства с другой почтовой системой. Так же, его невозможно использовать при формировании почтовых адресов в Exchange организации.

Если письмо будет доставляться в Exchange организацию, а домен получателя отсутствует в обслуживаемых доменах, оно автоматически будет отклонено с ошибкой 550 5.7.54 SMTP; Unabletorelayrecipientinnon—accepteddomain.

Сам процесс добавления домена необходимого типа выглядит следующим образом:

Загрузка ssl на сервер

Загрузка через операционную систему windows

Важно: удобнее будет сохранить .key в том же месте, где уже лежат файлы сертификатов. Это необязательно, но тогда вам придется запоминать расположение этого файла и указывать этот путь при конфигурации Apache, а не путь с нашего примера.

При этом:

cp — отвечает за копирование;/home/root/ — путь к файлу, если вы зашли «под рутом»;private.key — имя файла самого ключа;/etc/ssl/private.key — путь, куда мы хотим скопировать ключ.

Инструкция по установке ssl-сертификата

1. Сначала необходимо получить SSL-сертификат от центра сертификации, который вы выбираете сами (этот процесс в данной статье описывать не будем).

У вас должны быть файлы:

1. site.key – приватный ключ домена (созданный вами на этапе отправки заявки на получение сертификата или присланный центром сертификации),
2. site.crt – публичный сертификат домена (присланный центром сертификации).

2. Авторизуйтесь на сервере с правами root.

3. Перейдите в директорию /etc/nginx/bx/conf и откройте файл ssl.conf:

4. Измените строки:
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/cert.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem

На
ssl_certificate /etc/nginx/ssl/site.crt;
ssl_certificate_key /etc/nginx/ssl/site.key;

5. Перейдите в директорию /etc/nginx/ssl/ и скопируйте туда полученные вами ключ (site.key) и сертификат (site.crt).

6. Перезагрузите nginx.

Как установить бесплатный ssl сертификат от lets encrypt в битрикс-машине?

В меню машины пройти по пунктам 8. Manage web nodes in the pool -> 3. Certificates configuration -> 1. Configure Let’s encrypt certificate. Указать сайт (или сайты), dns имена сайта(-ов), email для нотификаций сервиса Lets Encrypt, подтвердить ввод.

Пример:

Мастер самостоятельно запросит и установит сертификат из сети.Поддерживается ввод нескольких сайтов, через запятую (test1.bx, test2.bx).

Перевыпуск сертификатов будет автоматический. Это отлично, с учетом того что сертификат дается только на 3 месяца.

Конфигурация nginx для ssl

Обратите внимание: на Ubuntu/Debian-дистрибутивах параметры веб-ресурсов Nginx обычно размещаются в директории /etc/nginx/sites-enabled/. В дистрибутиве CentOS стандартной директорией считается /etc/nginx/conf.d/.

Важно для дистрибутива CentOS: в случае отсутствия редактора nano, можно установить его следующим образом:

yum install nano

Не забудьте поменять на ваши:/etc/ssl/test.crt — прописать расположение ваших сертификатов;/etc/ssl/test.key — прописать расположение закрытого ключа.

Коробочная версия битрикс24

Коробочная версия Битрикс24, технически, может функционировать без SSL-сертификата к домену вашего портала.

Но многие модули Битрикс24 требуют наличия SSL-сертификата – телефония, подключения к различным внешним сервисам авторизации и хранения данных, открытые линии, аудио- и видеозвонки через десктоп-приложение и другие инструменты.

Поэтому мы рекомендуем использовать SSL-сертификат при развертывании коробочной версии Битрикс24, причем не самоподписанные, а выданные специальным центром сертификации.

SSL-сертификат в таком случае выписывается и продлевается силами ваших технических специалистов.

Настройка nginx

Итак, сертификат уже есть, осталось дело за малым — настроить веб-сервер. Переходим к нужному файлу конфигурации виртуального узла и приводим его к виду:

server {             listen 443 ssl default_server;             listen 80;             server_name <имя>;

             ssl_certificate /etc/letsencrypt/live/<имя>/fullchain.pem;             ssl_certificate_key /etc/letsencrypt/live/<имя>/privkey.pem;

             root /var/www/<каталог>;             index.php index.html;

                       location /.well-known/acme-challenge {                          root /var/www/<каталог>;                        }             ….             # Другие параметры            }

Обратите внимание на следующие моменты:

1. Данный виртуальный узел является сервером по умолчанию (default_server). Если в другом конфиге уже есть default_server, то произойдет конфликт и придется выбрать сервер по умолчанию.
2. Мы слушаем порты 443 и 80. Порт 80 пока не убирайте — он пригодится, если движок сайта пока еще не готов к SSL.
3. Директивы ssl-* задают путь к сертификату и ключу сертификата. Проверьте правильность пути.
4. Каталоги в директивах root должны быть одинаковы.

Заставим nginx перечитать конфиг:

sudo nginx -t && sudo nginx -s reload

Настройка внешних url адресов exchange сервера

Базовая настройка Exchange Server не заканчивается добавлением обслуживаемого домена и настройкой соединителей. Необходимо задать корректные URL адреса для подключения клиентов. Для этого перейдем в настройки конфигурации:

Выберем сервер и нажмем на «карандаш» открыв страницу настроек. Далее, необходимо перейти в настройки OutlookAnywhere и задаем внешний домен для подключения клиентов:

Данный домен, в последствии, будет использоваться для публикации Exchange сервера. Этот процесс будет описан в будущей статье.

Задание внешнего домена требуется и для веб каталогов Exchange сервера. Для этого необходимо перейти в конфигурацию virtual directories и найти «гаечный ключ»:

На открывшейся странице задаем необходимую конфигурацию:

Задание внешнего домена по которому будет доступна Exchange инфраструктура необходимо для дальнейшего выпуска SSL сертификатов.

Настройка политики адресов электронной почты

Политики адресов электронной почты определяют правила создания электронных адресов для получателей в организации Exchange. Функционал крайне полезен, так как с его помощью транслируется единый формат почтовых алиасов как для существующих, так и для новых пользователей организации.

Чтобы приступить к созданию первой политики, необходимо перейти в раздел (mail flow), далее во вкладку (mail address policies):

Создаем новую политики нажав “Add” ( ). Откроется окно, где необходимо задать название политики и формат адресов электронной почты:

В качестве шаблонов, возможно использовать один из стандартных, либо подготовить его самостоятельно.

Самостоятельно подготовить шаблон можно используя переменные. Ниже таблица с их возможными значениями:

Следующий шаг будет в определении области применения политики. Она состоит из типов объектов Exchange и их расположения.

После создания, необходимо применение политики:

Перенос из unix-систем

Детальнее:

Про cdn-сервисы

В обсуждении

Forward Secrecy было замечено, что по крайней мере CDN Amazon CloudFront не поддерживает обмен с вашим сервером в DH-кодировках, да и RC4 вроде тоже, что не радует. Возможно что и с другими CDN тоже не все идеально, но я лично пока с ними не сталкивался, поэтому ничего сказать не могу.

Проверка конфигурации

Доступ к Outlook Web Access:

Почтовый обмен с внешней почтовой системой:

Проверка сертификатов

После того как мы получили сертификаты, необходимо их проверить с помощью сервера ZimbraДля этого в папке сервера создадим папку сертификатов letsencrypt, поместим туда полученные сертификаты, и так как сервер работает от учетной записи zimbra, дадим права на эти файлы

Если проверка завершилась неудачно, то проверяйте как собрался IdenTrust, скорей всего ошибка в нём

Проверяем настройки

Подборки SSL-сертификатов: DV сертификат для домена, EV сертификат “зеленая строка”, WC сертификат для поддоменов, SAN мультидоменный сертификат.

Пройдемся по параметрам

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;

«Задаёт тип и размеры кэшей для хранения параметров сессий.» (my-sertif.ru) Кеш необходим для возможности повторного использования ключей сессии, таким образом при установлении нового соединения будут использоваться старые ключи, т.е. не будет повторно производиться хендшейк.

Особенно актуально при использовании кодировки DHE (например в бразуере Opera 12), поскольку время загрузки страницы со всеми элементами сильно увеличивается при отсутствии кеша, а DHE еще и использует больше ресурсов и времени (относительно EECDH и RC4).

ssl_prefer_server_ciphers on;«Указывает, чтобы при использовании протоколов SSLv3 и TLS серверные шифры были более приоритетны, чем клиентские.» (my-sertif.ru) — клиентские шифры (CBC) уязвимы к некоторым типам атак.

ssl_stapling on;Позволяет серверу прикреплять OCSP-ответы, тем самым уменьшая время загрузки страниц у пользователей. ЗДесь имеются ввиду ответы о валидности сертификата (при проверке на отозванность). С точки зрения безопасности пользователя не важно, кто передает ответы — веб-сервер или сервер CA — ведь ответ в любом случае подписан и валидность ответа тоже можно проверить, а ответ включает в себя свой срок действия.Для работы этой функции нужно указать DNS-сервер, что и делается директивой resolver.

keepalive_timeout — думаю в описании не нуждается, не стоит выключать или ставить слишком малым для уменьшения нагрузки из-за повторного установления соединения.

Сертификат

У меня уже был сертификат от StartSSL. О нем уже

на хабре, так что на этом шаге задерживаться не буду. Скажу только, что в течении первых двух-трех дней браузеры, проверяющие сертификат на сервере, могут на него ругаться (у меня такое происходило с Opera 12 и Firefox), видимо у StartCom кеши валидных сертификатов обновляются не так часто. Про установку же будет сказано ниже

Создаем каталог webroot-path/.well-known/acme-challenge/

Данный каталог позволяет серверу Let’s Encrypt убедиться, что ваш сайт пытается получить бесплатный SSL-сертификат. Каталог нужно создавать в корне веб-сервера. Например, если корень у вас /var/www/shop, то в нем и нужно создать нужный каталог:

cd /var/www/shop
mkdir.well-known
mkdir.well-known/acme-challenge
find. -type d -exec chown www-data:www-data {} ;

Сохраните файлы
сертификата на вашем сервере nginx:

а) Для этого скопируйте два файла с сертификатами, которые
Вы получили в нашем письме, в директорию на Вашем сервере. Файлы должны иметь
следующий формат: 

• your_domain.crt – SSL сертификат, предназначенный
  непосредственно для Вашего сервера
• somename.ca-bundle – связка сертификатов промежуточного и
  корневого центров сертификации

б) В эту же директорию скопируйте файл ключа
(например, your_domain.key), который вы создали во время генерации CSR
запроса на выдачу SSL сертификата.

Установка ssl сертификата битрикс на apache | настройка серверов windows и linux

Установка ssl сертификата для битрикс окружения или виртуальной машины bitrix для битрикс24

Установка ssl сертификата на сервер zimbra —

** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK

Установка платного сертификата

Загружаем файлы сертификата (certificate.key, certificate.crt, certificate.ca-bundle) на сервер.

Для этого подключаемся к серверу по SFTP, например, с помощью WinSCP или Filezilla. Доступы к серверу указаны в письме об активации.

Установка сертификатов

Для установки сертификатов имеет смысл сделать резерв текущихКопируется файл rivkey.pem в /opt/zimbra/ssl/zimbra/commercial/commercial.keyОстанавливаются сервисы, и загружается сертификат, после этого служба сервера Zimbra перезапускается

Настройка соединителя отправки (send connector)

В Exchange инфраструктуре коннекторы или соединители выполняют задачи обработки входящего и исходящего почтового потока, также участвуют внутри транспортного потока Exchange. Чтобы почтовая инфраструктура могла взаимодействовать с внешними системами по протоколу SMTP, необходимо создать новый соединитель отправки.

Как и в случае с обслуживаемыми доменами, существует несколько типов исходящих почтовых соединителей:

• Внутренний (Internal)
• Внешний (Internet)
• Партнерский (Partner)

Внутренний соединитель отправки используется для ретрансляции почтового потока внутри почтовой организации. Например, в сочетании с доменом внутренней ретрансляции.

Внешний тип предполагает отправку почты во вне организации, например удаленному почтовому серверу через Интернет.

Партнерский тип используется для настройки почтового взаимодействия между двумя внешними партнерскими организациями. Примером может служить холдинг. В холдинге множество отдельно стоящих почтовых систем, взаимодействие между которыми регулироваться политиками безопасности. Одна из политик требует, чтобы во время почтового обмена использовалось шифрование. Партнерский тип решает эту задачу.

Возвращаясь к задаче, для отправки внешним почтовым системам необходим внешний (Internet) тип соединителя.

На следующей странице необходимо указать каким образом будет осуществляться отправка почты. Либо используя MX записи, либо выделенный смарт-хост в виде внешнего почтового релея.

Внизу страницы присутствует чек-бокс с включением конфигурации Use the external DNS lookup settings on servers with transport roles. Задействование данной опции позволит не использовать конфигурацию DNS серверов сетевого интерфейса Exchange сервера, а применить настройки из конфигурации самого сервера. Они задаются на странице Servers, в первом же разделе Servers:

Необходимая вкладка называется DNS lookups: