IMPORTANTE
Se recomienda que estos comandos se ingresen en el mismo servidor en cual se generaron los certificados originalmente, de lo contrario cambiará la Autoridad Certificadora (CA) y tendremos un montón de problemas.
Para saber cual es el servidor donde se deben ejecutar los comandos se debe utilizar el siguiente comando:
/opt/zimbra/bin/zmcertmgr viewdeployedcrt
El resultado del comando indica cual es el servidor, el dato es el Canonical Name (CN) del campo issuer:
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=zimbra-server.example.com
Del ejemplo anterior tenemos que la generación de los certificados deberíamos realizarla en el servidor zimbra-server.example.com
Esto es de gran importancia si tenemos servidores LDAP esclavos.
Procedimiento
Para crear certificados en servidores multi servidores o cuando tenemos configurado un servidor archiving tenemos que realizar lo siguiente:
/opt/zimbra/bin/zmcertmgr createca -new
/opt/zimbra/bin/zmcertmgr deployca
/opt/zimbra/bin/zmcertmgr createcrt self -new -days 1000 -subject "/C=US/ST=CA/L=NVA/O=ZCS/OU=ZCS/CN=*.domain.tld"
/opt/zimbra/bin/zmcertmgr deploycrt self -allserver
/opt/zimbra/bin/zmcertmgr verifycrt self/opt/zimbra/bin/zmcertmgr viewdeployedcrt
# En todos los servidores
su - zimbra -c 'zmcontrol restart'
Posterior a la creación de los certificados, es necesario actualizar todas las "keys" del ssh en todos los servidores involucrados:
Ejemplo:
1. En el mailbox1: su - zimbra -c "zmsshkeygen"
2. En el archiving: su - zimbra -c "zmupdateauthkeys"
3. En el archiving: su - zimbra -c "zmsshkeygen"
4. En el mailbox: su - zimbra -c "zmupdateauthkeys"
En el caso de que en los servidores que están como ldap slave no levante modificamos el siguiente valor de TRUE a FALSE
zmlocalconfig -e ldap_starttls_required=false
Referencia:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2007315
http://wiki.zimbra.com/wiki/Administration_Console_and_CLI_Certificate_Tools
0 Comentarios