Zimbra Mail Server üzerinde SSL sertifikası kullanmak, kullanıcıların webmail, IMAP, POP3 ve SMTP servislerine güvenli şekilde erişebilmesi için kritik öneme sahiptir. SSL sertifikası sayesinde istemci ile sunucu arasındaki iletişim şifrelenir ve veri güvenliği sağlanır.
- Mevcut Sertifikaları Kontrol Etme
- CSR (Certificate Signing Request) Oluşturma
- CSR Dosyasını Görüntüleme
- 4. SSL Sertifikasını Sunucuya Yükleme
- Sertifika Zincirini Birleştirme
- Sertifika Doğrulaması
- SSL Sertifikasını Zimbra'ya Yükleme
- Zimbra Servislerini Yeniden Başlatma
- SSL Kurulumunu Test Etme
- Sertifika Bilgilerini Görüntüleme
- Sık Karşılaşılan Hatalar
- Certificate and Private Key Do Not Match
- Validation Failed
- SSL Sertifikası Kurulu Ancak Tarayıcı Güvensiz Görünüyor
Bu rehberde;
- CSR (Certificate Signing Request) oluşturma,
- SSL sertifikasını sunucuya yükleme,
- Sertifika doğrulama,
- Zimbra servislerine SSL tanımlama
işlemleri adım adım anlatılmaktadır.
Mevcut Sertifikaları Kontrol Etme
Öncelikle Zimbra kullanıcısına geçiş yapın ve mevcut sertifika bilgilerini görüntüleyin:
su - zimbra
zmcertmgr viewdeployedcrtCSR (Certificate Signing Request) Oluşturma
Yeni bir SSL sertifikası satın alacaksanız öncelikle CSR oluşturmanız gerekir.
Zimbra kullanıcısında aşağıdaki komutu çalıştırın:
/opt/zimbra/bin/zmcertmgr createcsr comm \ -new \ -subj "/C=TR/ST=Istanbul/L=Istanbul/O=Firma Adi/OU=IT/CN=mail.domain.com"Parametre Açıklamaları:
| Parametre | Açıklama |
|---|
| C | Ülke Kodu |
| ST | Şehir / Eyalet |
| L | Lokasyon |
| O | Firma Adı |
| OU | Departman |
| CN | Mail Sunucusu FQDN Adı |
Örnek:
/opt/zimbra/bin/zmcertmgr createcsr comm \ -new \ -subj "/C=TR/ST=Istanbul/L=Istanbul/O=ABC Teknoloji/OU=Bilgi Islem/CN=mail.ornekdomain.com"CSR Dosyasını Görüntüleme
Oluşturulan CSR dosyası aşağıdaki dizinde bulunur:
/opt/zimbra/ssl/zimbra/commercial/commercial.csrİçeriğini görüntülemek için:
cat /opt/zimbra/ssl/zimbra/commercial/commercial.csrÇıktı aşağıdakine benzer olacaktır:
-----BEGIN CERTIFICATE REQUEST-----
MIIC... ...
-----END CERTIFICATE REQUEST-----Bu kod SSL sağlayıcısına iletilerek sertifika siparişi oluşturulur.
4. SSL Sertifikasını Sunucuya Yükleme
SSL sağlayıcısından genellikle aşağıdaki dosyalar gelir:
- Domain Sertifikası (CRT)
- Intermediate Sertifika (CA Bundle)
- Root Sertifika
Dosyaları sunucuya yükleyin. Bu işlem için nano ile tek tek dosyaları oluşturabilir veya sunucuya scp ile yükleyebilirsiniz.
Sertifika Zincirini Birleştirme
Bazı sağlayıcılarda ara sertifikaların tek dosyada birleştirilmesi gerekir.
cat certificate.crt cabundle.crt > fullchain.crtSertifika Doğrulaması
Zimbra sertifikayı yüklemeden önce doğrulama yapılmalıdır.
Zimbra kullanıcısına geçin:
su - zimbra
/opt/zimbra/bin/zmcertmgr verifycrt comm \
/opt/zimbra/ssl/zimbra/commercial/commercial.key \
fullchain.crt \
cabundle.crtBaşarılı sonuç:
Validation OK
SSL Sertifikasını Zimbra’ya Yükleme
Doğrulama tamamlandıktan sonra sertifikayı deploy edin.
/opt/zimbra/bin/zmcertmgr deploycrt comm \
fullchain.crt \
cabundle.crtİşlem birkaç dakika sürebilir.
Zimbra Servislerini Yeniden Başlatma
SSL sertifikasının aktif olması için servisleri yeniden başlatın.
zmcontrol restartServis durumunu kontrol edin:
zmcontrol statusTüm servislerin “Running” durumda olması gerekir.
SSL Kurulumunu Test Etme
Webmail adresine erişin:
https://mail.domain.comSSL doğrulaması için OpenSSL kullanabilirsiniz:
openssl s_client -connect mail.domain.com:443Sertifika Bilgilerini Görüntüleme
Kurulu sertifikayı görüntülemek için:
zmcertmgr viewdeployedcrtSertifika detayları:
openssl x509 -in fullchain.crt -text -nooutSık Karşılaşılan Hatalar
Certificate and Private Key Do Not Match
Sebep:
Yanlış private key kullanılması.
Kontrol:
openssl rsa -noout -modulus -in commercial.key | openssl md5
openssl x509 -noout -modulus -in certificate.crt | openssl md5Hash değerleri aynı olmalıdır.
Validation Failed
Sebep:
Ara sertifika (CA Bundle) eksik veya yanlış yüklenmiştir.
Çözüm:
SSL sağlayıcısından güncel CA Bundle dosyasını talep edin.
SSL Sertifikası Kurulu Ancak Tarayıcı Güvensiz Görünüyor
Kontrol edilmesi gerekenler:
- FQDN doğru mu?
- Intermediate sertifikalar eksiksiz mi?
- DNS kayıtları doğru mu?
- Sertifika süresi dolmuş mu?
Zimbra üzerinde SSL kurulumu; CSR oluşturulması, sertifikanın doğrulanması ve deploy edilmesi adımlarından oluşmaktadır. Kurulum sonrasında webmail, SMTP, IMAP ve POP3 servisleri şifreli bağlantı kullanacağından hem kullanıcı güvenliği hem de e-posta teslim edilebilirliği önemli ölçüde artacaktır.
