[Resolu] Problème installation certificat ssl sur zimbra

Message par **belkav** » lun. 13 févr. 2017 12:11

Hello tous,

Je viens vers vous car j'ai un problème pour réinstaller un certificat ssl.

Notre fournisseur de certificat est RapideSSL

Depuis l'interface admin de zimbra, j'ai généré le fichier .csr nécessaire pour RapideSSL.
Jusque là, tout va bien, Je récupère les fichiers .crt depuis le site.

C'est quand j'essaie de les injecter sur le serveur, ça rale.
Je me base sur cette documentation:
https://wiki.zimbra.com/wiki/Installing ... ertificate

Dans un premeir temps, je fais un cat des deux fichés téléchargé depuis RapideSSL.
C'est lors de la vérification que j'ai une erreur:

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key commercial.crt commercial_ca.crt

** Verifying commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
unable to load certificate
140008080553640:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE
XXXXX ERROR: Unmatching certificate (commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) pair.

Avez vous rencontré déja ce problème ?
Des conseils ou pistes à me donner ?

Merci

Message par **c0bw3b** » lun. 13 févr. 2017 16:46

Ton certif serveur qui t'as été délivré ne peut pas être lu par zmcertmgr car il attend un format PEM et que tu sembles lui fournir un cert au format DER (c'est généralement le cas des fichiers .CER et .CRT).

Regardes le contenu de ton "commercial.crt" (ce que tu as reçu de RapideSSL donc) et regardes si ça commence par une ligne "----- BEGIN CERTIFICATE ---" ou si tu as un openssl sous la main :

openssl x509 -in cert.crt -text -noout

>> https://info.ssl.com/article.aspx?id=12149
les commandes openssl pour visualiser un PEM ou un DER-encoded // puis les commandes pour convertir de l'un à l'autre si on te fournis un DER-encoded et que ton zmcertmgr n'accepte que les PEM

Message par **belkav** » lun. 13 févr. 2017 16:53

Si je comprend bien, je dois convertir tous les .crt en .pem ?

RapidSSL m'a founi un zip avec:

ssl_certificate.crt

-----BEGIN CERTIFICATE-----
MIIF7jCCBNagzeJiU60AO5CpatatietpatataooZ1HH6p9Xk3y8HDidxi+0BrLoUog3TiWpg==
-----END CERTIFICATE-----

Et IntermediateCA.crt

-----BEGIN CERTIFICATE-----
MIIETTCCAzW1tGJUheblablablablabla7atKz4lecWLVtXjCYDqwSfC2Q7sRwrp0Mr8
2A==
-----END CERTIFICATE-----

Message par **c0bw3b** » lun. 13 févr. 2017 17:01

Pas tous les CRT : juste celui de ton serveur.
Ceux des CA (intermédiaire et racine) ont l'air d'être bons pour usage.

Fais un :
$ openssl x509 -in commercial.crt -text -noout

Tu as une erreur "unable to load certificate" ou pas ?

Message par **Zedoune** » lun. 13 févr. 2017 17:27

test déjà sans faire un cat de tes 2 fichiers

ensuite, utilise openssl pour vérifier que ton fichier crt correspond bien au CSR et que le crt correspond bien à la private key aussi (c'est peut être redondant les 2 tests, je ne sais plus

)

Message par **biour** » lun. 13 févr. 2017 18:52

avec open ssl tu doit pourvoir le faire (comme dit par cob)
un truc different sur le blog de poulpi
"openssl pkcs12 -inkey privkey.pem -in fullchain.pem -export -out emby.pfx"

donc un truc du genre
openssl x509 -in mycert.crt -out mycert.pem -outform PEM

Message par **belkav** » lun. 13 févr. 2017 19:30

Le .crt a convertir en .pem, c'est celui résultant du cat des deux fichiers ou c'est celui que je génère au début (le .csr) ?

Message par **belkav** » lun. 13 févr. 2017 19:55

et maintenant j'ai ça :d

** Verifying ssl_certificate.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (ssl_certificate.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
XXXXX ERROR: Invalid Certificate: ssl_certificate.crt: C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA
error 2 at 1 depth lookup:unable to get issuer certificate

Message par **c0bw3b** » lun. 13 févr. 2017 20:01

C'est celui de ton serveur que tu as reçu de RapidSSL généré à partir de la CSR que tu leur a fourni.
Donc le ssl_certificate.crt dans le ZIP reçu.

Le cat des deux fichiers ce n'est que l'agrégat des certificats publics de l'autorité intermédiaire (RapidSSL) et de l'autorité racine (GeoTrust Global CA d'après le tuto) que ton serveur va présenter en même temps que son propre certificat pour permettre au client de reparcourir toute la chaine de confiance et ainsi faire confiance à ton serveur.
Les certifs SSL/TLS c'est ça : une chaine ou une pyramide, comme tu veux.
La racine (connue de tous) --> émet et se porte garante --> autorité intermédiaire --> émet et se porte garante --> ton serveur.

En reprenant ton premier message, je pense que tu n'as même pas de problème de format de certif.
Tu t'es juste gourré sur le 2ème param de la commande où tu dois indiquer ton certif serveur à toi. Ca devrait être :

/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key ./ssl_certificate.crt ./commercial_ca.crt

Et gaffe au répertoire où tu te situes (commande pwd) lorsque tu lances ça : tu dois te trouver là où sont enregistrés ton certif serveur (ssl_certificate.crt) et ta chaine de confiance (le cat donc commercial_ca.crt dans le tuto)

Message par **c0bw3b** » lun. 13 févr. 2017 20:02

et maintenant j'ai ça :d

** Verifying ssl_certificate.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (ssl_certificate.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
XXXXX ERROR: Invalid Certificate: ssl_certificate.crt: C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA
error 2 at 1 depth lookup:unable to get issuer certificate

ok on a posté en mm temps

on avait pas un IRC SMP déjà ?

Message par **c0bw3b** » lun. 13 févr. 2017 20:08

Donc maintenant c'est ton 3ème param qui te pose problème : le commercial_ca.crt

Tu n'as pas cat les bons fichiers je pense. Tu prends :
1/ le IntermediateCA.crt dans le zip que tu as reçu
2/ le GeoTrust_Global_CA.pem à : https://www.geotrust.com/resources/root ... bal_CA.pem

Et tu cat ces 2 là dans un fichier commercial_ca.crt ou chainedeconfiance.crt si tu veux

Message par **gizmo78** » lun. 13 févr. 2017 20:16

pour enchainer les certifs dans un même .crt, il y a un ordre bien spécifique à respecter comme le dit c0b

Message par **belkav** » lun. 13 févr. 2017 20:51

Bon, ben, finalement ca marche:D

En effet, faire un cat avec le Geotrust marche mieux.

@c0bw3b, merci pour ton aide.
Et aussi merci aux autres pour les réponse

Message par **c0bw3b** » lun. 13 févr. 2017 21:11

Message par **kalistyan** » lun. 13 févr. 2017 21:33

Balise [Résolu]

Message par **Zedoune** » lun. 13 févr. 2017 22:30

Bah voilà c'est pas si insoluble

Message par **belkav** » lun. 13 févr. 2017 22:54

Non et je suis bien content que ca marche maintenant

Message par **biour** » mar. 14 févr. 2017 08:56

Indeed