Memasang RapidSSL Commercial Certificate pada Zimbra Mail Server
Salah seorang rekan alumni training Excellent menghubungi saya mengenai kesulitannya memasang certificate commercial untuk mail server yang ia tangani di perusahaannya di Maluku. Commercial certificate ini diperlukan agar browser maupun email client tidak komplain mengenai adanya Untrusted Self-Signed Certificate yang secara default dibuat oleh Zimbra saat proses instalasi.
User memang bisa saja melakukan exception jika menemui hal ini namun tentu jauh lebih baik jika tidak ada pesan untrusted yang muncul karena pesan tersebut bisa membingungkan user yang belum paham. Cara termudah untuk mengatasinya adalah dengan memasang commercial certificate yang dikeluarkan oleh beberapa provider keamanan online, misalnya dari Verisign, Cybertrust, Godaddy, RapidSSL dan lain-lain.
Awalnya saya menyarankan link berikut : “Memasang Commercial Certificate pada Zimbra Mail Server”, namun ternyata prosedur tersebut tidak dapat dijalankan. Pada saat menulis artikel tersebut, saya menggunakan SSL certificate dari Godaddy sedangkan yang sekarang menggunakan RapidSSL certificate.
Setelah melakukan pencarian ke beberapa sumber, berikut adalah prosedur memasang RapidSSL certificate pada Zimbra Mail Server :
- Dapatkan webserver certificate yang dikirimkan oleh RapidSSL. Buat file teks kosong dengan nama file /tmp/zcsserver.crt. Copy paste semua tulisan termasuk tulisan Begin Certificate hingga End Certificate ke file /tmp/zcsserver.crt. Lihat contoh dibawah ini untuk isi sebuah web server certificate :
- Jalankan perintah berikut :
[code language=”bash”]
mkdir /srv/v
cd /srv/v/
wget http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Global_CA.cer
wget https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem
cat GeoTrust_Global_CA.cer RapidSSL_CA_bundle.pem > /tmp/ca_bundle.crt
cd /opt/zimbra/bin
./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
chmod 644 /opt/zimbra/java/jre/lib/security/cacerts
/opt/zimbra/java/bin/keytool -import -alias rapidsslintca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /srv/v/RapidSSL_CA_bundle.pem
su – zimbra
zmcontrol restart
[/code]Tulisan changeit pada baris untuk melakukan import keystroke adalah password default untuk Mailbox Keystroke. Untuk memastikannya, jalankan perintah berikut apakah passwordnya benar changeit atau sudah diganti.
[code lang=”bash”]
su – zimbra
zmlocalconfig -s | grep mailboxd_truststore_password
[/code] - Setelah service Zimbra direstart, coba ulang mengakses alamat mail server Zimbra dengan protokol https, misalnya https://mail.excellent.co.id, semestinya sudah tidak ada lagi pesan peringatan untrusted
Semoga bermanfaat.
Catatan :
- Jika ingin agar tulisan Which is run by (unknown) berganti menjadi nama yang kita inginkan (misalnya nama perusahaan atau instansi), berarti yang harus dibeli adalah sertifikat SSL dengan tipe premium. Harga sertifikat ini lebih mahal dan ada proses verifikasi dokumen dan keabsahan badan hukum yang dilakukan oleh pihak provider.
- Ini iklan sekaligus promosi 😀 : Jika ada rekan-rekan Administrator Zimbra Mail Server yang hendak membeli certificate SSL sekaligus diinstalasikan ke mesin Zimbra mail server namun khawatir ada problem saat proses pemasangannya, Excellent menyediakan SSL certificate dari provider sekaligus menyediakan layanan untuk pemasangannya. Harganya tidak sampai Rp. 1 juta setahun kok 🙂 . Silakan hubungi Excellent melalui formulir kontak jika memang berminat
Pak Vavai, saya mencoba free trial ssl dari Rapidssl dan menginstallnya sesuai petunjuk bapak diatas.
Sampai pada menjalankan perintah berikut :
cd /opt/zimbra/bin
./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
muncul error :
** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
XXXXX ERROR: Invalid Certificate: /tmp/commercial.crt: C = US, O = “GeoTrust, Inc.”, CN = RapidSSL CA
error 2 at 1 depth lookup:unable to get issuer certificate
XXXXX ERROR: provided cert isn’t valid.
kira-kira penyebabnya kenapa ya pak..?
terima kasih pak sebelumnya.
@Aris,
Kelihatannya certificate-nya nggak valid mas. RapidSSL memang agak tricky. Saya nggak tahu apakah yang free trial ini benar-benar bisa diapply atau tidak di Zimbra
mas, numpang nnya..
lagi coba konfigurasi ssl dari globalsign wildcard organization,,bisa bantuin ga mas ya buat install konfigurasinya di zimbra, gagal melulu mas,,thx
@aris
saat melaksanakan perintah ./zmcertmgr deploycrt comm /tmp/zcsserver.crt /tmp/ca_bundle.crt
muncul eror
zmcertmgr: ERROR: no longer runs as root!
mohon pencerahan mas, terimakasih.
@Edhi,
Semenjak versi 8.7.x, menjalankan perintah zmcertmgr tidak perlu pakai hak akses root mas. Langsung pakai hak akses Zimbra, jadi su – zimbra terlebih dahulu.