Author Topic: zentyal 5 и подписанные сертификаты  (Read 1392 times)

AxetNord

  • Zen Monk
  • **
  • Posts: 78
  • Karma: +1/-0
    • View Profile
zentyal 5 и подписанные сертификаты
« on: April 25, 2017, 01:26:22 pm »
Доброго времени суток.
Кто либо пытался подсунуть в новый зентал подписанные сертификаты? Или настроить обновление сертификатов от letsencrypt?

luha

  • Zen Samurai
  • ****
  • Posts: 413
  • Karma: +27/-1
    • View Profile
Re: zentyal 5 и подписанные сертификаты
« Reply #1 on: April 25, 2017, 03:33:25 pm »
Настроить получение обновление сертификатов для Let's Encrypt не проблема т.к. этот процесс автономен. Ну а дальше надо решать что делать. Мне думается есть два пути - подмена сертификата и правка конфигов. Тоже планирую к зенчалу прикрутить letsencrypt но пока крюки не дошли. Испытал на вебсерверах в различных конфигурациях - полёт нормальный.

Есть хауту для более старых версий зенчала:
https://forum.zentyal.org/index.php/topic,24513.msg93625.html#msg93625

В кратце - надо включить модуль сертификатов, создать сертификат в этом модуле (через вебморду) и дальше сделать:
"Copy your cert file to /var/lib/zentyal/CA/certs and name it <serial number used in index.txt>.pem"
... тоесть подменить новым нужным нам сертификатом тот что создали в морде с переименованием.
« Last Edit: April 25, 2017, 03:35:49 pm by luha »

AxetNord

  • Zen Monk
  • **
  • Posts: 78
  • Karma: +1/-0
    • View Profile
Re: zentyal 5 и подписанные сертификаты
« Reply #2 on: April 25, 2017, 04:02:39 pm »
... тоесть подменить новым нужным нам сертификатом тот что создали в морде с переименованием.
У меня сейчас стоит 3.5 я на ней пробовал делать по этому мануалу. Вроде все получилось, но потом что-то произошло и у меня все, что было завязано на СА легло и не поднималось, пока не создал новый серт и так пока и живу. Сейчас уже 3.5 устаревает.
Много обновлений безопасности уже не ставятся ибо потом ложиться зеня. Вот сижу и думаю на что обновляться. Хочется прикрутить нормальный сертификат. да так, чтоб это не приводило к проблемам.
Я на другом сервере уже пользую letsencrypt но там сертбот при проверке обновления сертификата проверяет и обновление себя и подтягивает зависимости. А старый зеня этого не любит.

luha

  • Zen Samurai
  • ****
  • Posts: 413
  • Karma: +27/-1
    • View Profile
Re: zentyal 5 и подписанные сертификаты
« Reply #3 on: April 25, 2017, 04:25:04 pm »
Ну да. Устаревает. Гоняем на 3.4 почту и в последнее время начинаю испытывать проблемы с необходимостью всё это дело подтянуть до морально актуального состояния. Жаль что не работает обновление версии зенчала. Они должны были с этого начинать и опираться от того что систему нужно обновлять без боли, но увы. А в 5-м зенчале так и вовсе обязаны были прикрутить летсэнкрипт просто из коробки т.к. сообщество дало инструмент не просто так а чтобы все реально могли перейти на ssl независимо от финансовой составляющей. Вот и думай после этого что у разрабов в головах.

rubic

  • Zen Monk
  • **
  • Posts: 85
  • Karma: +12/-1
    • View Profile
Re: zentyal 5 и подписанные сертификаты
« Reply #4 on: April 27, 2017, 04:46:18 am »
надо включить модуль сертификатов, создать сертификат в этом модуле (через вебморду)...

Я сделал без этого. Поставил и настроил certbot, получил сертификат, затем:

Отредактировал /etc/apache2/sites-available/default-ssl.conf:

Code: [Select]
SSLCertificateFile /etc/letsencrypt/live/mail.domain.tld/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mail.domain.tld/privkey.pem

скопировал main.cf.mas и dovecot.conf.mas из /usr/share/zentyal/stubs/mail в /etc/zentyal/stubs/mail

отредактировал /etc/zentyal/stubs/mail/main.cf.mas:

Code: [Select]
my $certFile = '/etc/letsencrypt/live/mail.domain.tld/fullchain.pem';
my $keyFile = '/etc/letsencrypt/live/mail.domain.tld/privkey.pem';

отредактировал /etc/zentyal/stubs/mail/dovecot.conf.mas:

Code: [Select]
ssl_cert =</etc/letsencrypt/live/mail.domain.tld/fullchain.pem
ssl_key =</etc/letsencrypt/live/mail.domain.tld/privkey.pem

если нужен сертификат для jabber, то:

Code: [Select]
cat /etc/letsencrypt/live/mail.domain.tld/privkey.pem /etc/letsencrypt/live/mail.domain.tld/fullchain.pem > /etc/ejabberd/ejabberd.pem

Для рестарта сервисов после обновления сертификатов сделал файл /etc/letsencrypt/renew-hook.d/restart-services.sh (разрешения 0755):

Code: [Select]
#!/bin/sh

cat /etc/letsencrypt/live/mail.domain.tld/privkey.pem /etc/letsencrypt/live/mail.domain.tld/fullchain.pem > /etc/ejabberd/ejabberd.pem
/usr/bin/zs webadmin restart
/usr/bin/zs sogo restart
/usr/bin/zs mail restart
/usr/bin/zs jabber restart

Перезагрузился. Веб-интерфейс, SOGo, почта, jabber - все с валидными сертификатами. При этом нет шансов, что кто-нибудь залезет кривыми руками и что-нибудь поломает в Certification Authority. У меня его просто нет.

Neustradamus

  • Zen Monk
  • **
  • Posts: 63
  • Karma: +0/-3
    • View Profile
Re: zentyal 5 и подписанные сертификаты
« Reply #5 on: November 07, 2018, 11:24:37 pm »
I have created a ticket for Let's Encrypt support:
-> https://github.com/zentyal/zentyal/issues/1836

Can you help?