Qué hacer cuando expira el certificado SSL externo de autenticacion en Zimbra 6 ZCS

En este caso en particular, tenemos instalado un Zimbra ZCS 6 Open Source.

Como nuestros usuarios reportan que no pueden revisar su correo, procedemos a revisar en /opt/zimbra/log/mailbox.log y vemos el siguiente error:

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed

De acuerdo al error anterior, y en virtud de que se ha cumplido un año de la instalación del servidor, podemos asumir que nuestro certificado ssl del servidor de autenticación externa expiró.

El ZCS permite que administradores manejen sus certificados usando la Consola de Administración o el Interfaz de Línea de Comandos (CLI).

En nuestro caso optaremos por la segunda opción, para lo cuál nos logueamos en el servidor por ssh, como usuario root. Luego nos pasamos al directorio /opt/zimbra/bin y corremos los siguientes comandos:

1. Empezamos creando un nuevo Certificado de Autoridad (CA)

# ./zmcertmgr createca -new

2. Luego generamos un certificado, firmado por el CA y que expire en 730 días (dos años):

# ./zmcertmgr createcrt -new -days 730

3. Después, despliegue del certificado:

# ./zmcertmgr deploycrt self

4. Ahora, despliegue del CA:

# ./zmcertmgr deployca

5. Para terminar, verificamos que el certificado haya sido desplegado para todos los servicios:

# ./zmcertmgr viewdeployedcrt

Luego reiniciamos el servidor de correo de Zimbra, y listo. Cabe aclarar a los usuarios, que deben aceptar el nuevo certificado para poder enviar y recibir correo.

-maccbian