Memasang RapidSSL Commercial Certificate pada Zimbra Mail Server

Salah seorang rekan alumni training Excellent menghubungi saya mengenai kesulitannya memasang certificate commercial untuk mail server yang ia tangani di perusahaannya di Maluku. Commercial certificate ini diperlukan agar browser maupun email client tidak komplain mengenai adanya Untrusted Self-Signed Certificate yang secara default dibuat oleh Zimbra saat proses instalasi.

User memang bisa saja melakukan exception jika menemui hal ini namun tentu jauh lebih baik jika tidak ada pesan untrusted yang muncul karena pesan tersebut bisa membingungkan user yang belum paham. Cara termudah untuk mengatasinya adalah dengan memasang commercial certificate yang dikeluarkan oleh beberapa provider keamanan online, misalnya dari Verisign, Cybertrust, Godaddy, RapidSSL dan lain-lain.

Awalnya saya menyarankan link berikut : “Memasang Commercial Certificate pada Zimbra Mail Server”, namun ternyata prosedur tersebut tidak dapat dijalankan. Pada saat menulis artikel tersebut, saya menggunakan SSL certificate dari Godaddy sedangkan yang sekarang menggunakan RapidSSL certificate.

Setelah melakukan pencarian ke beberapa sumber, berikut adalah prosedur memasang RapidSSL certificate pada Zimbra Mail Server :

  1. Dapatkan webserver certificate yang dikirimkan oleh RapidSSL. Buat file teks kosong dengan nama file /tmp/zcsserver.crt. Copy paste semua tulisan termasuk tulisan Begin Certificate hingga End Certificate ke file /tmp/zcsserver.crt. Lihat contoh dibawah ini untuk isi sebuah web server certificate :
  2. Jalankan perintah berikut :
    [code language=”bash”]
    mkdir /srv/v
    cd /srv/v/
    wget http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.cer
    wget https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem
    cat GeoTrust_Global_CA.cer RapidSSL_CA_bundle.pem > /tmp/ca_bundle.crt
    cd /opt/zimbra/bin
    ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
    chmod 644 /opt/zimbra/java/jre/lib/security/cacerts
    /opt/zimbra/java/bin/keytool -import -alias rapidsslintca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /srv/v/RapidSSL_CA_bundle.pem
    su – zimbra
    zmcontrol restart
    [/code]Tulisan changeit pada baris untuk melakukan import keystroke adalah password default untuk Mailbox Keystroke. Untuk memastikannya, jalankan perintah berikut apakah passwordnya benar changeit atau sudah diganti.
    [code lang=”bash”]
    su – zimbra
    zmlocalconfig -s | grep mailboxd_truststore_password
    [/code]
  3. Setelah service Zimbra direstart, coba ulang mengakses alamat mail server Zimbra dengan protokol https, misalnya https://mail.excellent.co.id, semestinya sudah tidak ada lagi pesan peringatan untrusted

Semoga bermanfaat.

Catatan :

  1. Jika ingin agar tulisan Which is run by (unknown) berganti menjadi nama yang kita inginkan (misalnya nama perusahaan atau instansi), berarti yang harus dibeli adalah sertifikat SSL dengan tipe premium. Harga sertifikat ini lebih mahal dan ada proses verifikasi dokumen dan keabsahan badan hukum yang dilakukan oleh pihak provider.
  2. Ini iklan sekaligus promosi 😀 : Jika ada rekan-rekan Administrator Zimbra Mail Server yang hendak membeli certificate SSL sekaligus diinstalasikan ke mesin Zimbra mail server namun khawatir ada problem saat proses pemasangannya, Excellent menyediakan SSL certificate dari provider sekaligus menyediakan layanan untuk pemasangannya. Harganya tidak sampai Rp. 1 juta setahun kok 🙂 . Silakan hubungi Excellent melalui formulir kontak jika memang berminat

5 thoughts on “Memasang RapidSSL Commercial Certificate pada Zimbra Mail Server

  1. Pak Vavai, saya mencoba free trial ssl dari Rapidssl dan menginstallnya sesuai petunjuk bapak diatas.
    Sampai pada menjalankan perintah berikut :

    cd /opt/zimbra/bin
    ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt

    muncul error :

    ** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
    Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
    XXXXX ERROR: Invalid Certificate: /tmp/commercial.crt: C = US, O = “GeoTrust, Inc.”, CN = RapidSSL CA
    error 2 at 1 depth lookup:unable to get issuer certificate
    XXXXX ERROR: provided cert isn’t valid.

    kira-kira penyebabnya kenapa ya pak..?

    terima kasih pak sebelumnya.

  2. mas, numpang nnya..
    lagi coba konfigurasi ssl dari globalsign wildcard organization,,bisa bantuin ga mas ya buat install konfigurasinya di zimbra, gagal melulu mas,,thx

  3. @aris

    saat melaksanakan perintah ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
    muncul eror
    zmcertmgr: ERROR: no longer runs as root!

    mohon pencerahan mas, terimakasih.

  4. @Edhi,

    Semenjak versi 8.7.x, menjalankan perintah zmcertmgr tidak perlu pakai hak akses root mas. Langsung pakai hak akses Zimbra, jadi su – zimbra terlebih dahulu.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.