Actualización del Certificado Let’s Encrypt en Zimbra sobre Rocky Linux 8, una distribución basada en RHEL 8 (Red Hat Enterprise Linux 8).

La seguridad en la comunicación electrónica es uno de los pilares fundamentales para proteger la privacidad de los usuarios y la integridad de los datos. Los certificados SSL (Secure Sockets Layer) permiten cifrar las conexiones y asegurar que la información que se transmite a través de la red se mantenga segura. Let’s Encrypt es una autoridad certificadora gratuita y automática que permite obtener certificados SSL válidos para tus servidores.

En este contexto, Zimbra es una plataforma de colaboración que ofrece servicios de correo electrónico, calendario, contactos y más. Zimbra, al igual que muchos otros servicios, requiere un certificado SSL para proteger las comunicaciones entre los clientes y el servidor.

Dado que los certificados SSL tienen una fecha de caducidad, es esencial mantenerlos actualizados para garantizar que las comunicaciones sigan siendo seguras. En este artículo, abordaremos el proceso para actualizar un certificado SSL de Let’s Encrypt en un servidor Zimbra que está ejecutándose sobre Rocky Linux 8, una distribución basada en RHEL 8 (Red Hat Enterprise Linux 8).

La actualización del certificado SSL implica varios pasos clave, como la renovación automática del certificado con Let’s Encrypt, la configuración de Zimbra para que reconozca el nuevo certificado, y la verificación de que el nuevo certificado esté correctamente instalado y funcionando.

A lo largo de este proceso, nos aseguraremos de que el servidor Zimbra continúe operando con una conexión cifrada segura y sin interrupciones, garantizando la continuidad de los servicios para los usuarios finales.

Update instructions

Instalación del nuevo certbot

sudo yum install epel-release
sudo yum install snapd
sudo systemctl enable --now snapd.socket
sudo snap install core
sudo reboot

Después de reiniciar, Zimbra se negó a empezar, citando un certificado incorrecto, pero por si acaso, daré las órdenes en este orden como si funcionara.

Si esta es la primera vez que obtengas un certificado, reemplace la línea 3 con esto:

certbot certonly --standalone --preferred-chain "ISRG Root X1"

mail.example.com en la línea 6, debe reemplazarlo con el nombre de dominio de su servidor de correo

letsencryptCA línea 7 contiene el archivo que contiene el nuevo certificado raíz. Tienes que crearlo tú mismo y copiar este texto allí:

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

Tenga en cuenta que el certificado raíz, como resultado del comando en la línea 7, se añade exactamente al final del archivo que recibió. chain.pem

Todos los comandos de esta parte se ejecutan en nombre de la raíz del usuario:

su - zimbra -c "/opt/zimbra/bin/zmproxyctl stop"
su - zimbra -c "/opt/zimbra/bin/zmmailboxdctl stop"
certbot renew --standalone --force-renewal --preferred-chain "ISRG Root X1"
rm -f /opt/zimbra/ssl/letsencrypt/* 
rm -f /opt/zimbra/ssl/zimbra/commercial/commercial.key 
cp /etc/letsencrypt/live/mail.example.com/* /opt/zimbra/ssl/letsencrypt/
cat letsencryptCA >> /opt/zimbra/ssl/letsencrypt/chain.pem
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key
cd /opt/zimbra/ssl/letsencrypt
su zimbra

En este momento cambiamos a la zimbra de usuario y hacemos lo siguiente:

zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
zmcertmgr deploycrt comm cert.pem chain.pem
zmcontrol restart

Si todo va bien, recibirás un certificado fresco y un sistema de correo de trabajo.