Tại sao lại cần TLS/SSL cho máy chủ Mail ? #
Trong bài viết này, chúng tôi sẽ hướng dẫn cho Quý Khách cách để cài đặt SSL Lets Encrypt cho Zimbra Mail Server của Quý Khách. Tuy nhiên trước đó chúng tôi sẽ giới thiệu một chút về tại sao Quý Khách cần phải cài đặt SSL cho máy chủ mail của Quý Khách.
Có hai lý do quan trọng giải thích tại sao Quý Khách cần cài đặt chứng chỉ máy chủ Mail:
- Tránh những hacker có thể khai thác mail của Quý Khách. Vẫn có những cách khai thác có thể được sử dụng để chống lại việc gửi mail, ngay cả khi bản thân thư được mã hóa. Hãy nghĩ về việc kẻ tấn công không thể đọc tin nhắn, nhưng họ chắc chắn có thể biết tuyến đường mà nó truyền đi, nó được gửi cho ai, kích thước của nó, v.v…
- Nếu Quý Khách chưa cài SSL cho máy chủ mail của mình, các email truyền qua máy chủ của Quý Khách sẽ ở dạng văn bản rõ ràng và những kẻ tấn công có thể dễ dàng thực hiện một cuộc tấn công man-in-the-middle (MiTM) và xem hoặc giả mạo dữ liệu của Quý Khách. Đây là một vấn đề lớn và có thể dẫn đến vi phạm dữ liệu và nhiều lo ngại về bảo mật khác. Chưa kể rằng chứng chỉ SSL cho máy chủ thư của Quý Khách giúp Quý Khách không chỉ kết hợp mã hóa mà còn cả kiểm tra danh tính vào giao thức của mình. Khi Quý Khách sử dụng SSL, Quý Khách có thể đăng nhập an toàn vào máy chủ thư của mình và tránh gửi thông tin xác thực đăng nhập của Quý Khách qua internet dưới dạng văn bản rõ ràng.
Cài đặt SSL lets Encrypt cho Zimbra #
Lets Encrypt là một cơ quan cấp chứng chỉ SSL, nó được biết như một giải pháp hỗ trợ SSL miễn phí, tự động. Để cài đặt SSL Lets Encrypt cho Zimbra Mail Server Quý Khách hãy thực hiện theo các bước sau:
Bước 1: Quý Khách đăng nhập vào user zimbra và thực hiện tắt đi proxy services trên Zimbra
su - zimbra zmproxyctl stop
Bước 2: Quý Khách hãy cài đặt git trên máy chủ Mail (apt install git || yum install git ). Sau đó clone chứng chỉ Lets Encrypt trên dự án Github và truy cập vào thư mục letsencrypt đã clone.
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
Bước 3: Quý Khách hãy chạy SSL Lets Encrypt cho Zimbra ở chế độ tự động và sử dụng tùy chọn certonly.
./letsencrypt-auto certonly --standalone
Nếu Quý Khách có nhiều hostname trên máy chủ Mail của Quý Khách, Quý Khách có thể chạy cho toàn bộ hostname đó cùng một SSL, một Multi-SAN SSL, hãy sử dụng tùy chọn -d trước các hostname của Quý Khách.
./letsencrypt-auto certonly --standalone -d mail.yourdomain.com -d pop.yourdomain.com -d imap.yourdomain.com -d webmail.yourdomain.com …
Bước 4: Quý Khách cần cho cho hệ thống thực hiện update và cài đặt các package cần thiết. Tiến trình sẽ yêu cầu Quý Khách nhập một email để nhận thông báo về việc gia hạn SSL Lets Encrypt cho Zimbra Mail Server hoặc các thông tin về bảo mật.
Bước 5. Quá trình này sẽ mất vài giây để xác thực và sau đó kết thúc. Quý Khách sẽ nhận được thông báo như bên dưới sau khi hoàn tất.
Bước 6: Quý Khách có thể tìm thấy các chứng chỉ SSL Lets Encrypt cho Zimbra nằm tại đường dẫn /etc/letsencrypt/live/$yourdomain với $yourdomain là FQDN ma Quý Khách thiết lập với các files sau:
- cert.pem là file chứa chứng chỉ SSL
- chain.pem là file Intermediate chain
- fullchain.pem là file kết hợp của cert.pem và chain.pem
- privkey.pem là key của chứng chỉ SSL và hãy đảm bảo tính bảo mật cho private key của Quý Khách.
Sau đó Quý Khách hãy xây dựng một file Certificate Authority (CA) trung gian chèn vào cuối files chain.pem của Quý Khách. Sao chép tất cả thư mục Let’s Encrypt với tất cả các tệp /etc/letsencrypt/live/$yourdomain vào /opt/zimbra/ssl/letsencrypt:
mkdir /opt/zimbra/ssl/letsencrypt cp /etc/letsencrypt/live/$yourdomain/* /opt/zimbra/ssl/letsencrypt/ chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
Bước 7: Truy cập vào user zimbra và xác minh chứng chỉ SSL của Quý Khách với câu lệnh sau:
su - zimbra cd /opt/zimbra/ssl/letsencrypt/ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
Quý Khách sẽ nhận được kết quả như bên dưới, nếu không Quý Khách sẽ cần kiểm tra lại chứng chỉ SSL trước đó đã cấu hình.
Trước khi triển khai deploy chứng chỉ SSL Lets Encrypt cho Zimbra, Quý Khách nên backup thư mục SSL sau đó sao chép privkey.pem vào thư mục SSL của Zimbra.
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d") cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
Bước 8: Deploy chứng chỉ SSL Lets Encrypt cho Zimbra với câu lệnh sau:
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
Sau đó, Quý Khách cần khởi động lại các dịch vụ trên máy chủ Zimbra, thao tác này sẽ khởi động lại nginx hoặc các services mà Quý Khách đã dừng trước đó:
zmcontrol restart
Sau khi các dịch vụ được restart thành công, Quý Khách hãy truy cập vào đường dẫn truy cập vào máy chủ mail của mình hoặc sử dụng câu lệnh OpenSSL để kiểm tra lại.
echo QUIT | openssl s_client -connect $yourdomain:443 | openssl x509 -noout -text | less
Tổng kết #
Ở bài viết trên chúng tôi đã hướng dẫn cho Quý Khách cách để cài đặt SSL Lets Encrypt cho Zimbra Mail Server.
