TIPS – Let’s Encrypt en Zimbra

Como lo es prometido en el día de ayer mejore un poco mi manual de nginx con let’s encrypt hoy paso a agregar algunas cosas de como implementar correctamente Let’s Encrypt en Zimbra

En el dia de ayer puse un ejemplo de como transmitir el certificado ssl de el servidor receptor del SSl Let’s Encrypt hacia los demas, hoy en este caso agregar el servidor de correo, en este caso Zimbra:

editamos el ~/ssl.sh que creamos en el post anterior y le agregamos lo siguiente

#Server Correo
rsync -avi --delete /etc/letsencrypt root@mail.dominio.cu:/etc/ > /dev/null
ssh root@mail.dominio.cu /opt/sslzimbra.sh > /dev/null

Recuerden pasar la llave ssh desde el Servidor donde esta generando el SSL

ssh-copy-id -i ~/.ssh/id_rsa.pub root@mail.dominio.cu

Como notaran una vez transmitido el SSL desde el servidor de Let’s Encrypt mandamos a ejecutar el script /opt/sslzimbra.sh

Bueno antes que nada creamos un Certificado Root (https://www.identrust.com/certificates/trustid/root-download-x3.html)con este contenido
touch /opt/root.pem

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

nano /opt/sslzimbra.sh

#Impresion del chain.pem Root al que crea let's encrypt
cat /opt/root.pem >> /etc/letsencrypt/live/dominio.cu/chain.pem

#Comprobamos el Certificado
su - zimbra -c "/opt/zimbra/bin/zmcertmgr verifycrt comm /etc/letsencrypt/live/dominio.cu/privkey.pem /etc/letsencrypt/live/dominio.cu/cert.pem /etc/letsencrypt/live/dominio.cu/chain.pem"

#Hacer Backup del Certificado existente
#cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

#Copiamos el Certificado Privado de Let's Encrypt para Zimbra
cp /etc/letsencrypt/live/dominio.cu/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

#Ejecutamos la actualización del Certificado de Zimbra
su - zimbra -c "/opt/zimbra/bin/zmcertmgr deploycrt comm /etc/letsencrypt/live/dominio.cu/cert.pem /etc/letsencrypt/live/dominio.cu/chain.pem"

#Reiniciamos Zimbra
service zimbra restart
exit 0