Zimbra исправление “Unable to start TLS” (Comodo AddTrust CA Root expired at 30 may 2020)

Zimbra исправление “Unable to start TLS” (Comodo AddTrust CA Root expired at 30 may 2020)
просмотров: 266991 июня 2020 года

На днях я получил ошибку на одном из серверов, где крутится Zimbra и вместе с ней нерабочие службы:

Unable to start TLS: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed when connecting to ldap master.

По тексту ошибки видно, что это какая-то проблема в SSL-сертификате. Убедившись, что установленный сертификат истекает только через год, меня эта ошибка удивила еще больше!
Суть проблемы злоключается в истекшем корневом сертификате AddTrust CA Root 30 мая 2020 года

Что ж, от слов к делу:

Вариант 1 - игнорировать

Если надо исправить не отходя от кассы, то просто вводим команды:

root@mail:~# su - zimbra
zimbra@mail:~$ zmlocalconfig -e ldap_starttls_supported=0
zimbra@mail:~$ zmcontrol start

Так мы проигнорируем данную ошибку, но это больше временное решение нежели постоянное.
Лучше - исправить SSL.

Вариант 2 - исправить

У меня на сервере используется сертификат выданный COMODO, в свою очередь купил его здесь: https://www.gogetssl.com/

Ребята там знают о проблеме и предлагают скачать другие корневые сертификаты.
Забегая вперед скажу - предложенные ими сертификаты для меня не сработали... И чтобы они сработали мне стоило перевыпустить свой сертификат домена. А это все по-новой - генерирование CSR запроса, ключа и т.д...
Немного покопавшись я нашел подходяций корневой SSL сертификат от COMODO: comodorsacertificationauthority.crt ( <-скачать можно там )

В итоге у меня были файлы:

  1. domain_com.crt (получил от продавца сертификата)
  2. COMODO_RSA_Certification_Authority.crt (получил от продавца сертификата)
  3. comodorsacertificationauthority.crt (добыл в бою - см. ссылку выше grin)

Ловким движением руки, получаем bundle:

zimbra@mail:~$ cat ./COMODO_RSA_Certification_Authority.crt ./comodorsacertificationauthority.crt > ./domain_com_ca-bundle.crt

Проверьте чтоб -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- не слиплись, иначе получите другую ошибку:

unable to load certificate
69721:error:0906D066:PEM routines:PEM_read_bio:bad end line:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/crypto/pem/pem_lib.c:747:

 

Далее просто пере-добавляем наш сертификат на сервер заново:

Можно пойти по официальной инструкции, а можно просто ввести команды:

root@mail:~# su - zimbra
zimbra@mail:~$ /opt/zimbra/bin/zmcertmgr verifycrt comm ./domain_com.key ./domain_com.crt ./domain_com_ca-bundle.crt
### Тут должно написать ля-ля-ля... OK

zimbra@mail:~$ /opt/zimbra/bin/zmcertmgr deploycrt comm ./domain_com.crt ./domain_com_ca-bundle.crt
### Тут должно написать ля-ля-ля... Saving..Copying..Creating

zimbra@mail:~$ /opt/zimbra/bin/zmcertmgr viewdeployedcrt
### Тут будет виден добавленный сертификат

### И конечно же, если вы воспользовались сперва вариантом №1, то вернем настройку:
zimbra@mail:~$ zmlocalconfig -e ldap_starttls_supported=1

zimbra@mail:~$ zmcontrol restart

Всего хорошего wink

Поделиться

Что скажем?