Memasang RapidSSL Commercial Certificate pada Zimbra Mail Server

November 29, 2011

Salah seorang rekan alumni training Excellent menghubungi saya mengenai kesulitannya memasang certificate commercial untuk mail server yang ia tangani di perusahaannya di Maluku. Commercial certificate ini diperlukan agar browser maupun email client tidak komplain mengenai adanya Untrusted Self-Signed Certificate yang secara default dibuat oleh Zimbra saat proses instalasi.

User memang bisa saja melakukan exception jika menemui hal ini namun tentu jauh lebih baik jika tidak ada pesan untrusted yang muncul karena pesan tersebut bisa membingungkan user yang belum paham. Cara termudah untuk mengatasinya adalah dengan memasang commercial certificate yang dikeluarkan oleh beberapa provider keamanan online, misalnya dari Verisign, Cybertrust, Godaddy, RapidSSL dan lain-lain.

Awalnya saya menyarankan link berikut : “Memasang Commercial Certificate pada Zimbra Mail Server”, namun ternyata prosedur tersebut tidak dapat dijalankan. Pada saat menulis artikel tersebut, saya menggunakan SSL certificate dari Godaddy sedangkan yang sekarang menggunakan RapidSSL certificate.

Setelah melakukan pencarian ke beberapa sumber, berikut adalah prosedur memasang RapidSSL certificate pada Zimbra Mail Server :

  1. Dapatkan webserver certificate yang dikirimkan oleh RapidSSL. Buat file teks kosong dengan nama file /tmp/zcsserver.crt. Copy paste semua tulisan termasuk tulisan Begin Certificate hingga End Certificate ke file /tmp/zcsserver.crt. Lihat contoh dibawah ini untuk isi sebuah web server certificate :
  2. Jalankan perintah berikut : 
    mkdir /srv/v
cd /srv/v/
wget http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.cer
wget https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem
cat GeoTrust_Global_CA.cer RapidSSL_CA_bundle.pem > /tmp/ca_bundle.crt
cd /opt/zimbra/bin
./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
chmod 644 /opt/zimbra/java/jre/lib/security/cacerts
/opt/zimbra/java/bin/keytool -import -alias rapidsslintca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /srv/v/RapidSSL_CA_bundle.pem
su - zimbra
zmcontrol restart

    Tulisan changeit pada baris untuk melakukan import keystroke adalah password default untuk Mailbox Keystroke. Untuk memastikannya, jalankan perintah berikut apakah passwordnya benar changeit atau sudah diganti.

    su - zimbra
zmlocalconfig -s | grep mailboxd_truststore_password
  3. Setelah service Zimbra direstart, coba ulang mengakses alamat mail server Zimbra dengan protokol https, misalnya https://mail.excellent.co.id, semestinya sudah tidak ada lagi pesan peringatan untrusted

Semoga bermanfaat.

Catatan :

  1. Jika ingin agar tulisan Which is run by (unknown) berganti menjadi nama yang kita inginkan (misalnya nama perusahaan atau instansi), berarti yang harus dibeli adalah sertifikat SSL dengan tipe premium. Harga sertifikat ini lebih mahal dan ada proses verifikasi dokumen dan keabsahan badan hukum yang dilakukan oleh pihak provider.
  2. Ini iklan sekaligus promosi 😀 : Jika ada rekan-rekan Administrator Zimbra Mail Server yang hendak membeli certificate SSL sekaligus diinstalasikan ke mesin Zimbra mail server namun khawatir ada problem saat proses pemasangannya, Excellent menyediakan SSL certificate dari provider sekaligus menyediakan layanan untuk pemasangannya. Harganya tidak sampai Rp. 1 juta setahun kok 🙂 . Silakan hubungi Excellent melalui formulir kontak jika memang berminat

Share

Migrasi Server  / Tips, Tricks & Tutorial

Masim Vavai Sugianto
Masim Vavai Sugianto, Tinggal di Bekasi, Bekerja sebagai wirausahawan/Konsultan IT. Penganjur penggunaan sistem Linux dan aplikasi Open Source. Hobby Membaca, Hiking dan Avonturir. Mengembangkan PT. Excellent Infotama Kreasindo sebagai lembaga training dan IT consulting.

You might also like

Webinar Zimbra : Mindset untuk Team IT
July 29, 2020
Eskalasi Masalah Email : mailbox unavailable invalid DNS MX or A/AAAA resource record
July 14, 2020
Two Factor Authentication (2FA/TFA) untuk Meningkatkan Keamanan Akses Email
April 24, 2020

5 Comments


Aris
October 17, 2012 at 8:57 am

Pak Vavai, saya mencoba free trial ssl dari Rapidssl dan menginstallnya sesuai petunjuk bapak diatas.
Sampai pada menjalankan perintah berikut :

cd /opt/zimbra/bin
./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt

muncul error :

** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
XXXXX ERROR: Invalid Certificate: /tmp/commercial.crt: C = US, O = “GeoTrust, Inc.”, CN = RapidSSL CA
error 2 at 1 depth lookup:unable to get issuer certificate
XXXXX ERROR: provided cert isn’t valid.

kira-kira penyebabnya kenapa ya pak..?

terima kasih pak sebelumnya.


Masim Vavai Sugianto
October 18, 2012 at 6:09 am

@Aris,

Kelihatannya certificate-nya nggak valid mas. RapidSSL memang agak tricky. Saya nggak tahu apakah yang free trial ini benar-benar bisa diapply atau tidak di Zimbra


caredox
February 21, 2017 at 6:50 pm

mas, numpang nnya..
lagi coba konfigurasi ssl dari globalsign wildcard organization,,bisa bantuin ga mas ya buat install konfigurasinya di zimbra, gagal melulu mas,,thx


edhi
May 22, 2018 at 8:34 am

@aris

saat melaksanakan perintah ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
muncul eror
zmcertmgr: ERROR: no longer runs as root!

mohon pencerahan mas, terimakasih.


Masim Vavai Sugianto
May 22, 2018 at 8:43 am

@Edhi,

Semenjak versi 8.7.x, menjalankan perintah zmcertmgr tidak perlu pakai hak akses root mas. Langsung pakai hak akses Zimbra, jadi su – zimbra terlebih dahulu.


Leave a Reply

Your email address will not be published.

CAPTCHA

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.