1.下载证书

  • 阿里云创建完免费SSl证书后,选择证书下载–其他–下载
  • 下载后的文件解压后包括xxx.key、xxx.pem两个文件

2.上传到zimbra服务,修改证书类型

mkdir /opt/zimbra/ssl/aliyunssl/
cd /opt/zimbra/ssl/aliyunssl
openssl pkcs8 -topk8 -inform PEM -in xxx.key -outform PEM -nocrypt -out privkey.pem
mv xxx.pem cert.pem
chown zimbra:zimbra /opt/zimbra/ssl/aliyunssl/*

3.创建证书链中间证书chain.pem

  • 在 /opt/zimbra/ssl/aliyunssl/ 创建chain.pem 文件 也就是中级证书(mid-digicert-ca) + 根证书(root-digiert-ca)
    将阿里云下载证书xxx.pem的第二部分,也就是第二个—–BEGIN CERTIFICATE—–到—–END CERTIFICATE—–
    copy到chain.pem中也就是中级证书(mid-digicert-ca),再将发证机构的根证书追加到chain.pem中也就第二部分的根证书。
  • 最新的免费root证书下载:Digicert-OV-DV-root.cer
  • 如此chain.pem也制作完成

4.验证证书

su - zimbra
cd /opt/zimbra/ssl/aliyunssl/
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
# 成功提示一下信息
** Verifying 'cert.pem' against 'privkey.pem'
Certificate 'cert.pem' and private key 'privkey.pem' match.
** Verifying 'cert.pem' against 'chain.pem'
Valid certificate chain: cert.pem: OK

5.部署证书

  • 原有证书备份
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d%H%M%S")
  • 在Zimbra SSL路径下复制私钥
# 先备份再替换
cp /opt/zimbra/ssl/zimbra/commercial/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.key.bak
cp /opt/zimbra/ssl/aliyunssl/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
  • 部署
su - zimbra
cd /opt/zimbra/ssl/aliyunssl/
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
  • 重启zimbra服务
zmcontrol restart

6.通过网页查看证书是否生效