Украинского свободного народа!
Zimbra исправление “Unable to start TLS” (Comodo AddTrust CA Root expired at 30 may 2020)
На днях я получил ошибку на одном из серверов, где крутится Zimbra и вместе с ней нерабочие службы:
Unable to start TLS: SSL connect attempt failed error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed when connecting to ldap master.
По тексту ошибки видно, что это какая-то проблема в SSL-сертификате. Убедившись, что установленный сертификат истекает только через год, меня эта ошибка удивила еще больше!
Суть проблемы злоключается в истекшем корневом сертификате AddTrust CA Root 30 мая 2020 года
Что ж, от слов к делу:
Вариант 1 - игнорировать
Если надо исправить не отходя от кассы, то просто вводим команды:
root@mail:~# su - zimbra
zimbra@mail:~$ zmlocalconfig -e ldap_starttls_supported=0
zimbra@mail:~$ zmcontrol start
Так мы проигнорируем данную ошибку, но это больше временное решение нежели постоянное.
Лучше - исправить SSL.
Вариант 2 - исправить
У меня на сервере используется сертификат выданный COMODO, в свою очередь купил его здесь: https://www.gogetssl.com/
Ребята там знают о проблеме и предлагают скачать другие корневые сертификаты.
Забегая вперед скажу - предложенные ими сертификаты для меня не сработали... И чтобы они сработали мне стоило перевыпустить свой сертификат домена. А это все по-новой - генерирование CSR запроса, ключа и т.д...
Немного покопавшись я нашел подходяций корневой SSL сертификат от COMODO: comodorsacertificationauthority.crt ( <-скачать можно там )
В итоге у меня были файлы:
- domain_com.crt (получил от продавца сертификата)
- COMODO_RSA_Certification_Authority.crt (получил от продавца сертификата)
- comodorsacertificationauthority.crt (добыл в бою - см. ссылку выше
)
Ловким движением руки, получаем bundle:
zimbra@mail:~$ cat ./COMODO_RSA_Certification_Authority.crt ./comodorsacertificationauthority.crt > ./domain_com_ca-bundle.crt
Проверьте чтоб -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- не слиплись, иначе получите другую ошибку:
unable to load certificate
69721:error:0906D066:PEM routines:PEM_read_bio:bad end line:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/crypto/pem/pem_lib.c:747:
Далее просто пере-добавляем наш сертификат на сервер заново:
Можно пойти по официальной инструкции, а можно просто ввести команды:
root@mail:~# su - zimbra
zimbra@mail:~$ /opt/zimbra/bin/zmcertmgr verifycrt comm ./domain_com.key ./domain_com.crt ./domain_com_ca-bundle.crt
### Тут должно написать ля-ля-ля... OKzimbra@mail:~$ /opt/zimbra/bin/zmcertmgr deploycrt comm ./domain_com.crt ./domain_com_ca-bundle.crt
### Тут должно написать ля-ля-ля... Saving..Copying..Creatingzimbra@mail:~$ /opt/zimbra/bin/zmcertmgr viewdeployedcrt
### Тут будет виден добавленный сертификат### И конечно же, если вы воспользовались сперва вариантом №1, то вернем настройку:
zimbra@mail:~$ zmlocalconfig -e ldap_starttls_supported=1zimbra@mail:~$ zmcontrol restart
Всего хорошего 
