Let’s Encrypt
Let’s Encrypt merupakan suatu nama layanan penerbitan SSL Sertifikat yang telah diluncurkan pada tanggal 12 April 2016 oleh Internet Security Research Group atau yang disingkat dengan ISRG yang menyediakan layanan penerbitan SSL Sertifikat secara gratis berjenis Sertifikat X.509 untuk enkripsi Transport Layer Security (TLS) melalui proses otomatis yang dirancang untuk menghilangkan proses yang kompleks saat penerbitan manual, validasi, signing, instalasi dan pembaharuan SSL secara otomatis agar membuat web menjadi aman.
Let’s Encrypt bisa dijalankan di zimbra. Untuk dapat menggunakan ssl let’s encrypt pada zimbra, berikut adalah langkah – langkahnya:
- Matikan servis proxy dan mailbox.
[root@mail ~]# su - zimbra [zimbra@mail ~]$ zmproxyctl stop [zimbra@mail ~]$ zmmailboxdctl stop
- Langkah kedua adalah Menginstal git di Server, dan kemudian lakukan klon git dari proyek pada folder yang kita inginkan.
Catatan: Pada RedHat / CentOS 6 Anda harus mengaktifkan repositori EPEL sebelum menginstal git, jika belum menaktifkan repositori EPEL, bisa mengaktifkan terlebih dahulu. Untuk tutorialnya bisa kesini.
- Langkah kedua adalah Menginstal git di Server, dan kemudian lakukan klon git dari proyek pada folder yang kita inginkan.
[root@mail ~]# yum install git -y [root@mail ~]# git clone https://github.com/letsencrypt/letsencrypt [root@mail ~]# cd letsencrypt
- Jika menggunakan single domain, bisa menggunakan perintah berikut
[root@mail ~]# ./letsencrypt-auto certonly --standalone
- Jika menggunakan multi domain, bisa menggunakan perintah berikut
[root@mail ~]# ./letsencrypt-auto certonly --standalone -d xmpp.example.com -d conference.example.com
- Masukkan akun email anda, untuk pemberitahuan dan pemulihan key
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): [email protected]
- Ketik A. pada term of service. enter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A)gree/(C)ancel: A
- Masukkan hostname. dalam hal ini yang digunakan mail.dwinar.web.id
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): mail.dwinar.web.id
- Tunggu proses validate, sampai muncul keterangan berikut
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/zimbra86.zimbra.io/fullchain.pem. Your cert will expire on 2016-03-04. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - If like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Catatan : Lokasi certifikat berada pada folder /etc/letsencrypt/live/$domain. Disini directory yang digunakan, /etc/letsencrypt/live/mail.dwinar.web.id
- Buka file chain.pem.
[root@mail ~]# nano /etc/letsencrypt/live/mail.dwinar.web.id/chain.pem
- Tambahkan pada baris paling bawah untuk Root CA, Root CA bisa diperoleh melalui link berikut: https://www.identrust.com/certificates/trustid/root-download-x3.html
-----BEGIN CERTIFICATE----- YOURCHAIN -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ -----END CERTIFICATE-----
- Copy seluruh file /etc/letsencrypt/live/$domain ke dalam /opt/zimbra/ssl/letsencrypt
[root@mail ~]# mkdir /opt/zimbra/ssl/letsencrypt [root@mail ~]# cp /etc/letsencrypt/live/mail.dwinar.web.id/* /opt/zimbra/ssl/letsencrypt/ [root@mail ~]# chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
- Buka folder /opt/zimbra/ssl/letsencrypt masukkan perintah berikut untuk verify ssl (Perintah berikut menggunakan user zimbra)
[zimbra@mail ~]$ cd /opt/zimbra/ssl/letsencrypt [zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
- Bila berhasil di verify maka akan muncul seperti dibawah ini
** Verifying cert.pem against privkey.pem Certificate (cert.pem) and private key (privkey.pem) match. Valid Certificate: cert.pem: OK
- Backup terlebih dahulu folder ssl zimbra dengan perintah berikut:
[root@mail ~]# cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")
- Copy private key ke commercial key dengan perintah berikut
[root@mail ~]# cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
- Ubah hak ases ke zimbra.
[root@mail ~]# chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/*
- Deploy ssl dengan perintah berikut
– Zimbra 8.6 kebawah
[root@mail ~]# /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/chain.pem
– Zimbra 8.6 keatas
[root@mail ~]# su - zimbra [zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/chain.pem
- Restart Zimbra
[zimbra@mail ~]$ zmcontrol restart
Coba akses zimbra kalian, pasti sekarang sudah terinstall sslnya. Demikian tutorial kali ini, terimakasih telah membaca.