Zimbra SSL Zertifikate abgelaufen

Vor etwa 12 Monaten habe ich auf meinem Server Zimbra als meine E-Mail Lösung installiert. Alles hat problemlos funktioniert, bis heute. Als ich meine E-Mails über die Weboberfläche checken wollte bekam ich immer die Meldung „Ein Netzwerk Service Fehler ist aufgetreten“. Ein neuer Login-Versuch brachte dieselbe Fehlermeldung zu tage.

Ein Blick in das Logfile /opt/zimbra/log/mailbox.log brachte auch schon eine detailliertere Fehlermeldung zu tage:

ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed)

Demzufolge ist das SSL-Zertifikat, welches (auch intern) zur Kommunikation verwendet wird abgelaufen.

Da mir ein Login auch in die Adminoberfläche nicht mehr möglich war, musste ich das SSL-Zertifikat auf der Kommandozeile (CLI = Command Line Interface) aktualisiern. Die Erstellung eines „Single-Node Self-Signed Certificate“ geht wie folgt:

  1. Login am Server als root
  2. ins bin Verzeichnis von Zimbra wechseln:
    cd /opt/zimbra/bin
  3. Neue CA (Certificate Authority) erstellen:
    ./zmcertmgr createca -new
  4. Neues Self-Signed Zertifikat mit 365 Tage Gültigkeit erstellen:
    ./zmcertmgr createcrt -new -days 365
  5. Das neue Zertifikat Zimbra bekannt machen:
    ./zmcertmgr deploycrt self
  6. Die neue CA Zimbra bekannt machen:
    ./zmcertmgr deployca
  7. Zum Abschluss überprüfen, ob die neuen Zertifikate konfiguriert sind:
    ./zmcertmgr viewdeployedcrt
  8. Mit einem Neustart von Zimbra werden die Zertifikate verwendet:
    su -c "zmcontrol stop" - zimbra
    su -c "zmcontrol start" - zimbra