generar certificado zimbra con microsoft certification authority | MT-Sof...

1 de 4

http://es.mt-soft.com.ar/2009/04/02/generar-certificado-zimbra-con-mi...

generar certificado zimbra con microsoft

certification authority
Publicado el 02/04/2009
por admin en Informtica, webmasters

Supongamos que en nuestra empresa tenemos instalado un Microsoft Certification Authority en local que
nos proporciona todos los certificados que necesitamos. Por ejemplo para nuestros sitios web ASP de IIS.
Voy a utilizar esta autoridad de certificacin para generarme un certificado para Zimbra. De esta forma
como todas mis maquinas de Windows de la empresa tienen instalado dentro de sus autoridades de
certificacin de confianza el certificado raiz de mi autoridad, cuando entren en Zimbra por SSL no
tendrn ningn problema.
He de suponer que ya tienes instalado el Microsoft Certification Authority en t server y que sabes ms o
menos como funciona. Si no lo tienes instalado haz Inicio->Configuracin->Panel de control->Aadir o
quitar programas->Aadir o quitar componentes de Windows. Selecciona servicios de certificacin e
instlalo. Crate una autoridad de certificacin por ejemplo con el nombre miempresa_CA.

Una vez instalado tienes que tener la consola accesible desde las Herramientas Administrativas de t
Windows Server.
Comenzamos:
+ Primero tenemos que decirle a Zimbra que queremos hacer una peticin de certificado a una autoridad
de certificacin externa. Ya sea comercial como Verisign o local como en nuestro caso.
Necesitamos generar un CSR (Certification Signing Request). Nos vamos a la consola de admin y
buscamos Configuracion->Certificados->Instalar certificado.
Seleccionamos nuestro nombre de servidor. Por ejemplo misrvzimbra.miempresa.com. Luego le decimos
que genere la funcin CSR.
21/01/2010 18:33

generar certificado zimbra con microsoft certification authority | MT-Sof...

2 de 4

http://es.mt-soft.com.ar/2009/04/02/generar-certificado-zimbra-con-mi...

que genere la funcin CSR.

Luego rellenamos los datos que nos piden para generar el certificado. El campo ms importante es el
Nombre comn. Este debe coincidir con el nombre de URL que utilizars para acceder a t webmail. Es
decir, t servidor se llama misrvzimbra.miempresa.com, pero cuando accedas va Web lo hars con
webmail.miempresa.com. Si no colocas este nombre correctamente el IE te dir que estas accediendo a un
sitio peligroso porque el certificado no es correcto.

Para finalizar debes descargarte el fichero .csr. Este es el archivo que tendras que enviar a la autoridad de
certificacin.
+ Una vez tengamos nuestro .csr nos vamos a nuestra CA. Para ello cargamos la pagina web de nuestra
autoridad de certificacin de Microsoft. Accedemos a http://miserverwindows/certsrv y nos aparece algo
como:

Lo primero que haremos es descargamos el certificado raz de la CA. Para ello vamos a Download CA
certificate. Seleccionamos Base64 y descargamos el certificado con Download CA certificate. Este
es el certificado que tendramos que instalar en todas nuestras maquinas dentro de Autoridades de
certificacin de confianza.

21/01/2010 18:33

generar certificado zimbra con microsoft certification authority | MT-Sof...

3 de 4

http://es.mt-soft.com.ar/2009/04/02/generar-certificado-zimbra-con-mi...

+ Ahora ya podemos generar nuestro certificado Zimbra con la ayuda del .csr. Nos vamos otra vez a
http://miserverwindows/certsrv y le decimos Request a certificate->Advanced certificate request.
Seleccionamos la opcin Submit a certificate request by using a base-64.
Abrimos con el notepad el .csr anterior y pegamos dentro de la web su contenido. Adems tendremos que
decirle que lo que estamos pidiendo es un certificado para un servicio web.

Una vez enviada la peticin nos generar nuestro certificado. Seleccionamos base-64 y le decimos
Download certificate.

+ Ya tenemos los dos certificados. El de la autoridad de certificacin y el que hemos pedido para Zimbra.
Ahora como paso excepcional para Zimbra tenemos que hacer una pequea modificacin dentro de los
dos archivos .cer. Esta modificacin consiste en abrirlos con el notepad y dejar una linea en blanco
despus del END CERTIFICATE . Esto es debido a un bug de Zimbra que no es capaz de
detectar el final del archivo.
+ Estamos listo para cargar el certificado dentro de Zimbra. Volvemos a la consola de administracin de
Zimbra y le volvemos a decir Instalar certificado.
Esta vez no volvemos a generar la funcin CSR otra vez sino que le diremos Instalar certificado firmado
comercialmente.
Para finalizar le diremos el path donde se encuentra nuestro nuevo certificado para Zimbra como el propio
certificado de la autoridad de certificacin.

21/01/2010 18:33

generar certificado zimbra con microsoft certification authority | MT-Sof...

4 de 4

http://es.mt-soft.com.ar/2009/04/02/generar-certificado-zimbra-con-mi...

Una vez instalado y sin ningn error ya podemos reiniciar Zimbra y comprobar como nuestro webmail se
carga por SSL con el nuevo certificado.
Si hay algn otro problema para instalar los certificados comerciales lo mejor es hacerlo desde la linea de
comandos como root:
# zmcertmgr deploycrt comm /tmp/certnew.cer

/tmp/certificado_empresaCA.cer

Ms informacin:
+ Conceptos bsicos sobre SSL
+ Zimbra-grupo
+ Commercial certificates in Zimbra

21/01/2010 18:33