Memasang RapidSSL Commercial Certificate pada Zimbra Mail Server

Salah seorang rekan alumni training Excellent menghubungi saya mengenai kesulitannya memasang certificate commercial untuk mail server yang ia tangani di perusahaannya di Maluku. Commercial certificate ini diperlukan agar browser maupun email client tidak komplain mengenai adanya Untrusted Self-Signed Certificate yang secara default dibuat oleh Zimbra saat proses instalasi.

User memang bisa saja melakukan exception jika menemui hal ini namun tentu jauh lebih baik jika tidak ada pesan untrusted yang muncul karena pesan tersebut bisa membingungkan user yang belum paham. Cara termudah untuk mengatasinya adalah dengan memasang commercial certificate yang dikeluarkan oleh beberapa provider keamanan online, misalnya dari Verisign, Cybertrust, Godaddy, RapidSSL dan lain-lain.

Awalnya saya menyarankan link berikut : “Memasang Commercial Certificate pada Zimbra Mail Server”, namun ternyata prosedur tersebut tidak dapat dijalankan. Pada saat menulis artikel tersebut, saya menggunakan SSL certificate dari Godaddy sedangkan yang sekarang menggunakan RapidSSL certificate.

Setelah melakukan pencarian ke beberapa sumber, berikut adalah prosedur memasang RapidSSL certificate pada Zimbra Mail Server :

1. Dapatkan webserver certificate yang dikirimkan oleh RapidSSL. Buat file teks kosong dengan nama file /tmp/zcsserver.crt. Copy paste semua tulisan termasuk tulisan Begin Certificate hingga End Certificate ke file /tmp/zcsserver.crt. Lihat contoh dibawah ini untuk isi sebuah web server certificate :
2. Jalankan perintah berikut :

   mkdir /srv/v
   cd /srv/v/
   wget http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.cer
   wget https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem
   cat GeoTrust_Global_CA.cer RapidSSL_CA_bundle.pem > /tmp/ca_bundle.crt
   cd /opt/zimbra/bin
   ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
   chmod 644 /opt/zimbra/java/jre/lib/security/cacerts
   /opt/zimbra/java/bin/keytool -import -alias rapidsslintca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /srv/v/RapidSSL_CA_bundle.pem
   su - zimbra
   zmcontrol restart
   

   Tulisan changeit pada baris untuk melakukan import keystroke adalah password default untuk Mailbox Keystroke. Untuk memastikannya, jalankan perintah berikut apakah passwordnya benar changeit atau sudah diganti.

   su - zimbra
   zmlocalconfig -s | grep mailboxd_truststore_password
   

3. Setelah service Zimbra direstart, coba ulang mengakses alamat mail server Zimbra dengan protokol https, misalnya https://mail.excellent.co.id, semestinya sudah tidak ada lagi pesan peringatan untrusted

Semoga bermanfaat.

Catatan :

1. Jika ingin agar tulisan Which is run by (unknown) berganti menjadi nama yang kita inginkan (misalnya nama perusahaan atau instansi), berarti yang harus dibeli adalah sertifikat SSL dengan tipe premium. Harga sertifikat ini lebih mahal dan ada proses verifikasi dokumen dan keabsahan badan hukum yang dilakukan oleh pihak provider.
2. Ini iklan sekaligus promosi 😀 : Jika ada rekan-rekan Administrator Zimbra Mail Server yang hendak membeli certificate SSL sekaligus diinstalasikan ke mesin Zimbra mail server namun khawatir ada problem saat proses pemasangannya, Excellent menyediakan SSL certificate dari provider sekaligus menyediakan layanan untuk pemasangannya. Harganya tidak sampai Rp. 1 juta setahun kok 🙂 . Silakan hubungi Excellent melalui formulir kontak jika memang berminat