Почтовый сервер Zimbra использует java хранилище для trusted root certificates. В случае настройки внешней авторизации zimbra по защищенному каналу ldap ssl необходимо чтоб почтовый сервер доверял сертификатам, ldap базы данных. Например это может быть Microsoft Active Directory Controller и поднятый локально центр сертификатов.
В рассмотренном случае версия почтового сервера Zimbra от 8.7 и выше. Утилита для работы с хранилищем сертификатов находится в
/opt/zimbra/common/bin/keytool
Само хранилище находится в
/opt/zimbra/common/etc/java/cacerts
Пароль от хранилища : changeit
Для примера просмотрим список всех доверенных сертификатов. Команда для этого:
/opt/zimbra/common/bin/keytool -list -v -keystore /opt/zimbra/common/etc/java/cacertsКоманда запросит пароль Enter keystore password: вводим пароль changeit и получаем длинный список доверенных сертификатов. Для удобства просмотра в конце команды желательно сделать перенаправление ввывода в фаил. > /tmp/ca.txt
Если мы знаем альяс сертификата, то мы можем просмотреть конкретно именно этот сертификат. Допустим альяс у нас win2012
/opt/zimbra/common/bin/keytool -list -v -keystore /opt/zimbra/common/etc/java/cacerts -alias win2012Для того чтобы Zimbra могла установить ssl соединение с серверами Active Directory необходимо чтобы на этих серверах стояли сертификаты, выданные локальным центром сертификатов. А root сертификат центра сертификатов мы должны поместить в хранилище доверенных сертификатов на zimbra. Для этого экспортируем с сервера сертификатов root сертификат в формате DER. И импортируем с помощью команды
/opt/zimbra/common/bin/keytool -import -alias win2012 -keystore /opt/zimbra/common/etc/java/cacerts -trustcacerts -file your-exported-cert.cerгде your-exported-cert.cer это наш root сертификат а win2012 альяс нашего сертификата. Учтите, что после добавления сертификата, необходимо перезагрузить zimbra.
Для удаления сертификата из хранилища нужно знать альяс сертификата. Команда для удаления будет следующая:
/opt/zimbra/common/bin/keytool -delete -alias win2012 -keystore /opt/zimbra/common/etc/java/cacertsТак же можно экспортировать сертификат в фаил командой
/opt/zimbra/common/bin/keytool -export -alias win2012 -file win2012.crt -keystore /opt/zimbra/common/etc/java/cacerts