Renewal SSL di Zimbra
Penggunaan SSL di Zimbra Mail Server perlu diperhatikan masa aktifnya. Perlu dilakukan renewal secara rutin agar komunikasi data dapat tetap aman dan juga agar Zimbra Mail Server tetap bisa diakses oleh pengguna.
Pada artikel kali ini dijelaskan panduan atau tata cara renewal SSL pada Zimbra Mail Server.
Cek Jumlah Server
Sebelum memulai proses instalasi SSL, pastikan terlebih dahulu berapa jumlah Zimbra Mail Server yang digunakan dengan perintah berikut:
su - zimbra
zmprov gas
Perintah di atas akan menampilkan daftar server apa saja yang tergabung dalam instalasi Zimbra. Misalnya MTA, MBOX, dan LDAP.
Persiapkan File SSL
Berikut adalah file-file yang perlu disiapkan untuk proses instalasi SSL:
- Private key (
.crt) - Sertifikat SSL (
.crt) - CA bundle (
.crt)
Tempatkan file-ile tersebut pada server yang akan dilakukan renewal. Misalnya di direktori /tmp.
Sesuaikan Hak Akses File
Agar proses verifikasi dan instalasi berjalan lancar, sesuaikan hak akses/ownership dari direktori dan file-file SSL menjadi zimbra.
chown -R zimbra:zimbra /tmp/new-ssl
Verifikasi Private Key, Sertifikat SSL, dan CA Bundle
Verifikasi ini bertujuan untuk memastikan bahwa file-file yang akan digunakan sesuai (match) dan dapat digunakan. Gunakan perintah berikut:
su - zimbra -c '/opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/new-ssl/commercial.key /tmp/new-ssl/ssl.crt /tmp/new-ssl/ca_bundle.crt'
Apabila ketiga file sesuai, maka akan muncul kofirmasi bahwa sertifikat dan key cocok dan valid.
Backup File SSL Sebelumnya
Sebelum melanjutkan instalasi SSL, disarankan untuk melakukan backup pada file konfigurasi SSL yang lama.
mkdir -p /srv/backup_ssl_2024/
cp /opt/zimbra/ssl/zimbra/commercial/* /srv/backup_ssl/
Salin Private Key Baru
Salin file private key yang baru ke lokasi yang digunakan oleh Zimbra.
cp /tmp/new-ssl/commercial.key /opt/zimbra/ssl/zimbra/commercial/commercial.key
Deploy Sertifikat SSL
Cek terlebih dahulu SSL yang sedang digunakan:
su - zimbra -c '/opt/zimbra/bin/zmcertmgr viewdeployedcrt'
Deploy sertifikat yang baru:
su - zimbra -c '/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/new-ssl/ssl.crt /tmp/new-ssl/ca_bundle.crt'
Apabila proses deploy sudah dilakukan, verifikasi kembali dengan menggunakan perintah viewdeployedcrt untuk memastikan bahwa sertifikat baru sudah terpasang.
Apabila memiliki beberapa server (topologi multi-server), lakukan juga deployment pada server lainnya.
Restart Zimbra Service
Setelah proses deployment selesai, untuk finalisasinya Zimbra Service perlu di-restart.
⚠️ Perhatian: Proses restart service ini dapat menghentikan layanan email untuk beberapa waktu. Disarankan untuk melakukan tahap ini di luar jam operasional perusahaan.
Disarankan juga menggunakan tool Screen saat proses restart dilakukan, agar pekerjaan (restart) masih bisa berjalan meskipun koneksi terminal terputus.
screen -S restart_zimbra
su - zimbra -c 'zmcontrol status'
su - zimbra -c 'zmcontrol restart'
Verifikasi Sertifikat SSL di Web Browser
Apabila Zimbra memiliki webmail, periksa juga status SSL-nya dengan cara buka web browser> kunjungi alamat webmail> klik ikon gembok dan lihat sertifikat SSL-nya. Pastikan informasi pada sertifikat SSL sudah sesuai dengan SSL terbaru (masa aktif SSL sudah berubah).
Penutup
Melakukan proses renewal SSL secara berkala merupakan bagian penting dalam menjaga keamanan layanan Zimbra Mail Service. Prosedur ini diharapkan dapat membantu SysAdmin dalam melakukan renewal Zimbra Mail Server.
Jika perusahaan Anda membutuhkan dukungan untuk pengelolaan SSL atau layanan Zimbra Mail Server, bisa menghubungi tim Excellent melalui 📩 sales@excellent.co.id.
