Como renovar certificado Let’s Encrypt no Zimbra

O Zimbra funciona com o certificado Let’s Encrypt. Para fazer a instalação basta ir no Wiki do Zimbra que tem o passo a passo. No final deste post fornecemos o link da fonte.

O “problema” é que de 3 em 3 meses temos que refazer o processo e resolvemos fazer um resumo para a renovação do certificado ao invés de ficar lendo o Wiki todo a cada 3 meses.

Antes temos que parar os dois serviços abaixo.

zmproxyctl stop
zmmailboxdctl stop

1 2	zmproxyctl stop zmmailboxdctl stop

No diretório onde você fez o download do Let´s Encrypt rode o comando abaixo. Este comando vai renovar o certificado já existente.

certbot certonly --standalone -d SEUDOMINIO --preferred-chain "ISRG Root X1" --force-renewal --preferred-challenges http --agree-tos -n -m EMAILADMIN --keep-until-expiring

1	certbot certonly --standalone -d SEUDOMINIO --preferred-chain "ISRG Root X1" --force-renewal --preferred-challenges http --agree-tos -n -m EMAILADMIN --keep-until-expiring

Preste atenção nas mensagens para ter certeza que a renovação vai ser feita com sucesso.

Feito isto vá na pasta onde os certificados foram gerados:

cd /etc/letsencrypt/live/seudominio.com.br

1	cd /etc/letsencrypt/live/seudominio.com.br

Edite o arquivo chain.pem e no final dele (depois do END CERTIFICATE) adicione o conteúdo abaixo que foi retirado de: https://letsencrypt.org/certs/isrgrootx1.pem.txt

-----BEGIN CERTIFICATE-----

MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw

TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh

cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTUwNjA0MTEwNDM4

WhcNMzUwNjA0MTEwNDM4WjBPMQswCQYDVQQGEwJVUzEpMCcGA1UEChMgSW50ZXJu

ZXQgU2VjdXJpdHkgUmVzZWFyY2ggR3JvdXAxFTATBgNVBAMTDElTUkcgUm9vdCBY

MTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAK3oJHP0FDfzm54rVygc

h77ct984kIxuPOZXoHj3dcKi/vVqbvYATyjb3miGbESTtrFj/RQSa78f0uoxmyF+

0TM8ukj13Xnfs7j/EvEhmkvBioZxaUpmZmyPfjxwv60pIgbz5MDmgK7iS4+3mX6U

A5/TR5d8mUgjU+g4rk8Kb4Mu0UlXjIB0ttov0DiNewNwIRt18jA8+o+u3dpjq+sW

T8KOEUt+zwvo/7V3LvSye0rgTBIlDHCNAymg4VMk7BPZ7hm/ELNKjD+Jo2FR3qyH

B5T0Y3HsLuJvW5iB4YlcNHlsdu87kGJ55tukmi8mxdAQ4Q7e2RCOFvu396j3x+UC

B5iPNgiV5+I3lg02dZ77DnKxHZu8A/lJBdiB3QW0KtZB6awBdpUKD9jf1b0SHzUv

KBds0pjBqAlkd25HN7rOrFleaJ1/ctaJxQZBKT5ZPt0m9STJEadao0xAH0ahmbWn

OlFuhjuefXKnEgV4We0+UXgVCwOPjdAvBbI+e0ocS3MFEvzG6uBQE3xDk3SzynTn

jh8BCNAw1FtxNrQHusEwMFxIt4I7mKZ9YIqioymCzLq9gwQbooMDQaHWBfEbwrbw

qHyGO0aoSCqI3Haadr8faqU9GY/rOPNk3sgrDQoo//fb4hVC1CLQJ13hef4Y53CI

rU7m2Ys6xt0nUW7/vGT1M0NPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNV

HRMBAf8EBTADAQH/MB0GA1UdDgQWBBR5tFnme7bl5AFzgAiIyBpY9umbbjANBgkq

hkiG9w0BAQsFAAOCAgEAVR9YqbyyqFDQDLHYGmkgJykIrGF1XIpu+ILlaS/V9lZL

ubhzEFnTIZd+50xx+7LSYK05qAvqFyFWhfFQDlnrzuBZ6brJFe+GnY+EgPbk6ZGQ

3BebYhtF8GaV0nxvwuo77x/Py9auJ/GpsMiu/X1+mvoiBOv/2X/qkSsisRcOj/KK

NFtY2PwByVS5uCbMiogziUwthDyC3+6WVwW6LLv3xLfHTjuCvjHIInNzktHCgKQ5

ORAzI4JMPJ+GslWYHb4phowim57iaztXOoJwTdwJx4nLCgdNbOhdjsnvzqvHu7Ur

TkXWStAmzOVyyghqpZXjFaH3pO3JLF+l+/+sKAIuvtd7u+Nxe5AW0wdeRlN8NwdC

jNPElpzVmbUq4JUagEiuTDkHzsxHpFKVK7q4+63SM1N95R1NbdWhscdCb+ZAJzVc

oyi3B43njTOQ5yOf+1CceWxG1bQVs5ZufpsMljq4Ui0/1lvh+wjChP4kqKOJ2qxq

4RgqsahDYVvTH9w7jXbyLeiNdd8XM2w9U/t7y0Ff/9yi0GE44Za4rF2LN9d11TPA

mRGunUHBcnWEvgJBQl9nJEiU0Zsnvgc/ubhPgXRR4Xq37Z0j4r7g1SgEEzwxA57d

emyPxgcYxn/eR44/KJ4EBs+lVDR3veyJm+kXQ99b21/+jh5Xos1AnX5iItreGCc=

-----END CERTIFICATE-----

Agora vamos copiar os arquivos para um diretório temporário do Zimbra

cp /etc/letsencrypt/live/seudominio.com.br/* /opt/zimbra/ssl/letsencrypt/

1	cp /etc/letsencrypt/live/seudominio.com.br/* /opt/zimbra/ssl/letsencrypt/

A partir daqui são comandos para o Zimbra 8.7 em diante. Para zimbra anterior a 8.7 veja no Wiki qual o procedimento.

Mude para o usuário do Zimbra e rode o comando abaixo. Preste atenção no resultado para ter certeza que deu certo.

/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem

1	/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem

Agora vamos fazer o deploy do certificado no Zimbra.

Primeiro um BKP do certificado antigo

cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

1	cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

Agora vamos copiar o arquivo privkey.pem para a estrutura do Zimbra com o comando abaixo.

cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

1	cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

Finalmente já podemos fazer o deploy a partir do diretório /opt/zimbra/ssl/letsencrypt/. Verifique se você está com o usuário Zimbra.

/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem

1	/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem

Dando tudo certo, reinicie o Zimbra para pegar o novo certificado.

zmcontrol restart

1	zmcontrol restart

Pronto! Zimbra rodando com certificado Let’s Encrypt. 😉

Fonte (Wiki zimbra): https://wiki.zimbra.com/wiki/Installing_a_LetsEncrypt_SSL_Certificate