5 bước cài đặt SSL cho Zimbra với nhiều tên miền và cách kiểm tra SSL sau khi cài đặt

Việc cài đặt SSL cho Zimbra là bước quan trọng để bảo vệ dữ liệu của người dùng, tăng cường độ tin cậy cho website và email cũng như tuân thủ theo các tiêu chuẩn bảo mật hiện hành. Bài viết này sẽ hướng dẫn bạn từng bước thực hiện các thao tác cài đặt trên một cách đơn giản và nhanh chóng nhất.

Yêu cầu hệ thống

• Phiên bản Proxy Zimbra mới nhất đã được cài đặt và kích hoạt sẵn.
• Tài khoản user zimbra có quyền truy cập root.

Chứng chỉ SSL

Bạn cần sở hữu chứng chỉ SSL hợp lệ, đang hoạt động. Hiện nay có 2 loại SSL chính là loại miễn phí (của Let’s Encrypt, CloudFlare SSL, OpenSSL) và SSL trả phí từ các nhà cung cấp uy tín như Vietnix, Comodo, GoDaddy,…

Thực tế cho thấy việc đầu tư vào dịch vụ SSL trả phí ngay từ đầu mang lại nhiều lợi ích đáng kể. SSL trả phí có mức độ bảo mật cao hơn, thời gian sử dụng dài (tối thiểu là 1 năm) và bạn sẽ được hỗ trợ bởi đội ngũ chuyên gia của nhà cung cấp. Nếu cảm thấy lo lắng về chi phí, bạn có thể mua SSL tại Vietnix với mức giá chỉ 160.000 VNĐ/năm và được hỗ trợ 24/7.

Còn nếu bạn mới bắt đầu làm quen với việc tạo website thì SSL miễn phí sẽ là lựa chọn phù hợp. Bạn có thể lấy SSL miễn phí từ Let’s Encrypt như sau:

Bước 1: Tạo chứng chỉ SSL: https://punchsalad.com/ssl-certificate-generator/.

Sau khi hoàn tất quá trình tạo chứng chỉ SSL ở trên, bạn tải xuống các file sau:

• File khóa: .key.
• File chứng chỉ: .crt.
• File chứng chỉ CA trung gian: .ca-bundle.

Bước 2: Tải file chứng chỉ CA root (.chain.pem) của Let’s encrypt bằng cách chạy lệnh sau trong terminal:

[root@webmail ~]# wget -O /opt/ssl/chain.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt

Lệnh này sẽ cài đặt chứng chỉ vào thư mục ssl và upload lên server theo đường dẫn /opt/ssl. Bạn cũng có thể tạo thư mục và đường dẫn khác tùy chỉnh.

Bước 1: Cài đặt chứng chỉ SSL trên Zimbra

Tại giao diện chính của Zimbra, nhấp vào mục Configure để mở menu cấu hình:

Sau đó, chọn mục Certificates > Install Certificate.

Trong giao diện Certificate Installation Wizard mới xuất hiện, bạn chọn server cần cài đặt SSL ở dòng Server name và sau đó nhấn Next.

Tích vào ô Install the commercially signed certificate và tiếp tục bấm Next.

Sau đó bạn chuyển xuống phần Review the Certificate Signing Request, kiểm tra các thông tin CSR đã chính xác chưa và bấm vào Next.

Bước 2: Upload file Certificate lên server

Bạn chuyển tới phần Upload the Certificate và tải các file chứng chỉ tương ứng theo từng ô, sau đó bấm Next.

Cuối cùng bấm vào Install và đợi vài phút để hoàn tất quá trình cài đặt.

Nếu màn hình xuất hiện thông báo tương tự như bên dưới nghĩa là SSL đã được cài đặt thành công.

Bước 3: Khởi động lại Zimbra 

Mở terminal, thực hiện các lệnh sau để khởi động lại dịch vụ Zimbra và áp dụng các thay đổi trên:

sudo su 
su zimbra

zmcontrol restart

Sau khi đã đăng ký SSL thành công, bạn đảm bảo có đầy đủ các file: private key, chứng chỉ SSL, chứng chỉ Certificate Authority (CA) gốc và chứng chỉ CA trung gian.

Bước 1: Cấu hình địa chỉ IP cho từng tên miền

Để thêm một tên miền mới, bạn sử dụng cú pháp chung sau:

zmprov md example.com zimbraVirtualHostName mail.example.com zimbraVirtualIPAddress 1.2.3.4

Như trong bài viết này, Vietnix sẽ thiết lập các thông số là:

• example.com: dns.info.vn.
• zimbraVirtualHostName: mail.dns.info.vn.
• zimbraVirtualIPAddress: 103.221.221.1.

Lúc này cú pháp sẽ là:

zmprov md dns.info.vn zimbraVirtualHostName mail.dns.info.vn zimbraVirtualIPAddress 103.221.221.1

Bước 2: Upload và xác minh chứng chỉ SSL cho mỗi tên miền

Cách 1: Tạo file khóa private key và CRS bằng Web

Đầu tiên, bạn truy cập link: https://decoder.link/csr_generator và điền các thông tin tên miền, quốc gia, vị trí, tổ chức,… theo trường tương ứng.

Tiếp theo, bấm Generate và chờ một lúc để hệ thống khởi tạo private key và CSR. Cuối cùng, sao chép các đoạn ký tự và lưu về máy.

Quá trình cài đặt SSL cho nhiều tên miền trên Zimbra yêu cầu bạn cần phải truy cập vào tài khoản người dùng zimbra. Từ quyền root, bạn sử dụng lệnh sau để chuyển sang user zimbra:

root@mail:~# su - zimbra

Cách 2: Tạo file khóa private key và CRS bằng lệnh

Trước tiên, bạn chạy lệnh sau để tạo một thư mục riêng lưu trữ toàn bộ file chứng chỉ SSL đã chuẩn bị từ trước:

zimbra@mail:~$ mkdir -p ssl/dns.info.vn
zimbra@mail:~$ cd ssl/dns.info.vn

Sau đó, tải các file chứng chỉ lên thư mục này và đặt tên cho chúng như sau:

• dns.info.vn.crt: File chứng chỉ SSL chính.
• dns.info.vn.intermediate.crt: File chứng chỉ CA trung gian.
• dns.info.vn.key: File private key.
• dns.info.vn.root.crt: File chứa chứng chỉ CA gốc.

Tiếp theo bạn tạo một chuỗi chứng chỉ mới bằng cách kết hợp các file chứng chỉ trung gian và gốc vào một file duy nhất có tên dns.info.vn_ca.crt bằng lệnh:

zimbra@mail:~/ssl/dns.info.vn$ cat dns.info.vn.root.crt dns.info.vn.intermediate.crt >> dns.info.vn_ca.crt

Bạn chạy lệnh sau để kiểm tra xem khóa và chứng chỉ có khớp nhau và chuỗi chứng chỉ vừa tạo có hợp lệ không:

zimbra@mail:~/ssl/dns.info.vn$ /opt/zimbra/bin/zmcertmgr verifycrt comm dns.info.vn.key dns.info.vn.crt dns.info.vn_ca.crt

Nếu kết quả xuất hiện với thông báo tương tự bên dưới thì chứng tỏ các chứng chỉ đã được cấu hình đúng:

Bước 3: Deploy chứng chỉ SSL vào tên miền Zimbra

Trước khi deploy chứng chỉ SSL thì bạn cần kết hợp file chứng chỉ SSL và chuỗi chứng chỉ vừa tạo ở bước 2 vào một file mới có tên là dns.info.vn.bundle. Cú pháp lệnh cụ thể như sau:

zimbra@mail:~/ssl/dns.info.vn$ cat dns.info.vn.crt dns.info.vn_ca.crt >> dns.info.vn.bundle

Tiếp theo, bạn cần lưu chứng chỉ và khóa SSL vào LDAP với cú pháp chung là: 

/opt/zimbra/libexec/zmdomaincertmgr savecrt <domainname> <certificate with chain certs> <keyfile>

Với các thiết lập trong bài hướng dẫn này thì cú pháp thực tế là:

zimbra@mail:~/ssl/dns.info.vn$ /opt/zimbra/libexec/zmdomaincertmgr savecrt dns.info.vn dns.info.vn.bundle dns.info.vn.key

Bạn chạy lệnh sau với user zimbra để deploy chứng chỉ SSL, đồng thời lưu chứng chỉ và khóa vào thư mục /opt/zimbra/conf/domaincerts/. Trong trường hợp file không tự động lưu thì bạn cần copy thủ công vào thư mục trên:

Bước 4: Kiểm tra và kích hoạt tính năng SNI cho Proxy

Để đảm bảo Proxy hoạt động đúng với chứng chỉ SSL, bạn chạy lệnh sau:

zimbra@mail:~/ssl/dns.info.vn$ zmprov mcf zimbraReverseProxySNIEnabled TRUE

Lệnh này sẽ bật tính năng SNI (Server Name Indication) cho Proxy, giúp nó nhận biết và phục vụ các yêu cầu đến từ nhiều domain khác nhau.

Bước 5: Cập nhật cấu hình và khởi động lại Proxy

Sau khi thay đổi cấu hình, hãy khởi động lại dịch vụ Proxy để các thay đổi có hiệu lực:

zimbra@mail:~/ssl/dns.info.vn$ zmproxyctl restart

Tiếp tục thực hiệp lặp lại các thao tác trên để cài đặt SSL cho những tên miền khác trên Zimbra của bạn.

Để kiểm tra xem chứng chỉ SSL đã hoạt động sau khi cài đặt lên 1 hoặc nhiều tên miền trên Zimbra chưa, bạn có thể chọn 1 trong các cách sau:

Cách 1: Kiểm tra thủ công

Sau khi khởi động lại, bạn thử truy cập vào địa chỉ URL tên miền Zimbra để kiểm tra xem chứng chỉ đã hoạt động chưa bằng cách bấm vào biểu tượng bên cạnh tên miền. Nếu thấy các dòng Connection is secure > Certificate is valid thì tức là chứng chỉ SSL đang hoạt động.

Bấm vào Certificate is valid sẽ xuất hiện thông tin chi tiết về chứng chỉ SSL.

Cách 2: Kiểm tra bằng công cụ

Bạn sử dụng công cụ SSL Checker của Checknet để kiểm tra tên miền đã được xác thực SSL chưa:

Hoặc sử dụng SSLShopper cũng cho ra kết quả tương tự:

Cách 3: Kiểm tra trên giao diện Zimbra

Trong giao diện quản trị Zimbra, bạn truy cập mục Configure > Certificate > View Certificate. Nếu thấy kết quả hiển thị như hình bên dưới nghĩa là chứng chỉ SSL đang hoạt động trên tên miền Zimbra hiện tại.

Lỗi ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

Sau khi hoàn tất quá trình cài đặt chứng chỉ SSL, bạn có thể gặp lỗi bảo mật ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY trong quá trình đăng nhập vào Zimbra. Lỗi này thường xuất hiện trên các server chạy Zimbra phiên bản cũ hoặc không được cập nhật thường xuyên. Khi đó Google Chrome sẽ hiển thị cảnh báo như dưới đây tới người dùng.

Lỗi chdir(/root) failed: Permission denied

Khi gặp lỗi chdir(/root) failed: Permission denied nghĩa là hiện tại bạn đang ở thư mục /root và Zimbra không được cấp quyền ghi trên thư mục này. Để khắc phục lỗi, bạn thoát khỏi thư mục hiện tại và quay trở lại thư mục gốc hệ thống bằng lệnh:

cd /

Lợi ích khi cài đặt SSL cho nhiều tên miền trên Zimbra

Việc cài đặt chứng chỉ SSL là vô cùng cần thiết trong việc đảm bảo an toàn cho việc trao đổi qua email:

• Bảo mật thông tin: SSL mã hóa dữ liệu truyền tải giữa máy chủ Zimbra và trình duyệt, bảo vệ thông tin người dùng khỏi bị đánh cắp, đặc biệt là khi truyền mật khẩu, thông tin tài khoản và nội dung email quan trọng.
• Tăng độ tin cậy: Biểu tượng ổ khóa xanh lá cây SSL trên địa chỉ website giúp tạo dựng hình ảnh chuyên nghiệp, đáng tin cậy cho website, giúp người dùng yên tâm hơn khi giao dịch.
• Bảo vệ thương hiệu: SSL giúp ngăn chặn các website giả mạo, bảo vệ hình ảnh và thương hiệu của doanh nghiệp.
• Đáp ứng tiêu chuẩn hiện đại: Hầu hết trình duyệt web hiện nay yêu cầu website phải cài đặt SSL để đảm bảo an toàn.

Lời kết

Với những thông tin trên, Vietnix đã chia sẻ tới bạn 5 bước cần thiết để cài đặt  SSL cho nhiều tên miền trên Zimbra. Tuy nhiên bên cạnh SSL, bạn cũng cần thường xuyên cập nhật phần mềm, sao lưu dữ liệu và theo dõi các hoạt động bất thường để đảm bảo an toàn cho hệ thống. Nếu bạn cần hỗ trợ thêm về tên miền hay SSL, đừng ngần ngại để lại bình luận ở bên dưới để được đội ngũ Vietnix giải đáp nhanh chóng nhất.