Vấn đề cài đặt SSL Let’s Encrypt cho email server Zimbra được khá nhiều người dùng và doanh nghiệp quan tâm. Vì thế, bài viết này HVN Group sẽ hướng dẫn cho bạn cách cài đặt một cách chi tiết nhất, đồng thời cung cấp một số thông tin thú vị liên quan đến SSL Let’s Encrypt.
Giới thiệu về SSL
Trước khi đi vào phần hướng dẫn cài đặt, hãy cùng “dạo một vòng” để tìm hiểu qua về SSL, Let’s Encrypt và những đặc điểm mà người dùng cần chú ý.
SSL là gì?
SSL là viết tắt của Secure Sockets Layer, là một loại giao thức mã hóa bảo mật dữ liệu giữa trình duyệt và máy chủ để dữ liệu không thể bị chặn. Điều này khiến tin tặc không thể đọc được thông tin của khách hàng. Cuối cùng, SSL tạo ra trải nghiệm trang web an toàn hơn cho doanh nghiệp và khách truy cập.
Tùy thuộc vào trình duyệt sử dụng, khách hàng có thể được cảnh báo về các trang web không an toàn bằng cửa sổ bật lên hoặc thông báo yêu cầu người dùng nhấp vào nút để tiếp tục. Nếu doanh nghiệp không cài đặt SSL, bạn có khả năng mất nhiều khách hàng do các biện pháp bảo mật của trình duyệt.
Nếu website của bạn thu thập bất kỳ thông tin nào từ khách hàng, bao gồm email, địa chỉ, tên, thì cần phải có chứng chỉ SSL để đảm bảo an toàn cho dữ liệu của họ khi dữ liệu đó được chuyển đến máy chủ của bạn.
Các doanh nghiệp đăng ký và cài đặt SSL để:
- Giữ cho truy cập của người dùng được an toàn.
- Tăng cường sự tin tưởng với khách hàng: Khách hàng mong muốn website của bạn được an toàn và bảo vệ được dữ liệu của họ. Nếu bạn không cài đặt SSL và họ nhận được cảnh báo bật lên cho biết trang web không an toàn, khách hàng đó sẽ mất niềm tin vào doanh nghiệp và không tiếp tục truy cập vào website.
- Đáp ứng các yêu cầu về PCI/DSS: PCI/DSS được ủy quyền bởi hội đồng Payment Card Industry Security Standard và được thiết lập bởi các ngân hàng, công ty thẻ tín dụng lớn dành cho các công ty chấp nhận, lưu trữ và xử lý dữ liệu chủ thẻ. Nếu không có SSL, bạn không thể làm việc được với bộ xử lý thanh toán để bán sản phẩm trực tuyến.
- Xác thực danh tính: Mã hóa có thể nâng cao uy tín thương hiệu doanh nghiệp.
Cải thiện xếp hạng trên các công cụ tìm kiếm: Google thường cho các website cài đặt SSL bằng cách giúp họ xếp hạng cao hơn trong các trang kết quả của công cụ tìm kiếm (SERP).
Tìm hiểu về chứng chỉ SSL Let’s Encrypt là gì?
Let’s Encrypt là Certificate Authority (CA) mới cung cấp chứng chỉ SSL không tính phí dành cho khách hàng mua domain của nhà cung cấp và cũng đảm bảo sự an toàn như chứng chỉ có tính phí. Let’s Encrypt cung cấp hai loại certificate, Single domain SSL tiêu chuẩn và Wildcard SSL – không chỉ bao hàm một domain mà còn gồm tất cả các sub-domain của nó.
Việc cài đặt SSL 2 loại này đều có hiệu lực trong 90 ngày, không có ngoại lệ. Tuy nhiên bạn có thể tự động gia hạn chứng chỉ của mình sau mối 60 ngày.
Giới hạn tốc độ của SSL Let’s Encrypt
Let’s Encrypt đã thiết lập giới hạn tốc độ để đảm bảo việc sử dụng hợp lý tại các doanh nghiệp cài đặt SSL. Các giới hạn đó cụ thể như sau:
- Chứng chỉ cho mỗi miền đã đăng ký: Giới hạn được đặt là 50 chứng chỉ mỗi tuần.
- Ủy quyền đang chờ xử lý: Giới hạn được đặt tối đa là 300. Vượt quá giới hạn này có thể gây ra lỗi.
- Order: Bạn có thể tạo tối đa 300 order mới cho mỗi tài khoản trong 3 giờ.
- Tên/certificate: Giới hạn số lượng tên miền bạn có thể đưa vào trong một chứng chỉ, tức 100 tên miền trên mỗi certificate.
- Đăng ký/địa chỉ IP: Giới hạn số lượng đăng ký có thể thực hiện trong một khoảng thời gian nhất định. Giới hạn là 10 tài khoản cho mỗi địa chỉ IP cứ sau 3 giờ. Bạn có thể tạo tối đa 500 tài khoản trên mỗi IP Range trong IPv6/48 cứ sau 3 giờ.
Xác thực không thành công: Giới hạn 5 lần không thành công cho mỗi tài khoản, mỗi hostname, mỗi giờ.
Ưu điểm khi cài đặt SSL Let’s Encrypt
- Tối ưu chi phí: Chủ sở hữu trang web có thể nhận được chứng chỉ đáng tin cậy cho domain của mình với chi phí bằng không sau khi mua domain của CA Let’s Encrypt.
- Tự động: Phần mềm chạy trên máy chủ web của bạn có thể tự động tạo, cài đặt và gia hạn chứng chỉ SSL.
- Dễ dàng: Let’s Encrypt rất dễ cài đặt trên bất kỳ máy chủ nào. Nó không yêu cầu xác thực tài khoản, thanh toán hoặc email bổ sung.
- An toàn: Let’s Encrypt triển khai các phương pháp tốt nhất về Transport Layer Security (TLS).
- Minh bạch: Tất cả các certificate đã phát hành đều được ghi lại công khai để bất kỳ ai cũng có thể kiểm tra.
Cách cài đặt SSL Let’s Encrypt trên email server Zimbra
Email server Zimbra hỗ trợ việc cài đặt chứng chỉ SSL Let’s Encrypt không mất phí cho mail.domain.
Trước khi tiến hành việc cài đặt, bạn có thể sử dụng công cụ online để check trạng thái của chứng chỉ SSL cho tên miền theo địa chỉ link như sau: sslshopper.com/ssl-checker.html.
Dưới đây là hướng dẫn chi tiết cách cài đặt SSL Let’s Encrypt cho email server Zimbra có địa chỉ mail.hvn.space.
– Bước 1: Truy cập ssh vào server zimbra và dừng (stop) hết các service.
su zimbra
zmcontrol stop
– Bước 2: Tiến hành cài đặt git cho server:
yum install git -y
– Bước 3: Thực hiện tải về (download) Let’s Encrypt:
yum -y install epel-release
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
– Bước 4: Chạy tự động (auto_ chứng chỉ Let’s Encrypt cho tên miền email server Zimbra là hvn.vn:
./letsencrypt-auto certonly –standalone -d mail.hvn.vn
- Sau khi chạy lệnh, hệ thống sẽ hiển thị các thông tin cần nhập:
Nhập địa chỉ email ví dụ như support@hvn.vn
Đồng ý / Hủy bỏ – Chọn : A
Có / Không – Chọn : Y
- Chẳng hạn như đoạn ví dụ ở dưới đây:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Enter email address (used for urgent renewal and security notices) (Enter ‘c’ to
cancel): support@hvn.vn
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
(A)gree/(C)ancel: A
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let’s Encrypt project and the non-profit
organization that develops Certbot? We’d like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
(Y)es/(N)o: Y
Obtaining a new certificate
- Kết quả trả về sẽ tương tự như hình bên dưới >> Như vậy là bạn đã thực hiện thành công ở bước này.
– Bước 5: Kiểm tra lại key đã được tạo ra trong đường dẫn /etc/letsencrypt/live/$domain với $domain bằng tên miền mail.hvn.space đã sử dụng ở bước trên. Kết quả cho ra sẽ hiển thị như hình ảnh dưới đây:
– Bước 6: Người dùng cần tiến hành sửa lại file chain.pem trong phần thư mục trên để trust root CA.
Mở file /etc/letsencrypt/live/$domain/chain.pem và tiến hành chèn thêm đoạn mã dưới đây vào cuối file (Thay thế $domain bằng tên miền mail.hvn.space sử dụng ở bước trên)
—–BEGIN CERTIFICATE—–
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
—–END CERTIFICATE—–
– Bước 7: Tiến hành xác thực chứng chỉ (Verify certificate):
- Copy Let’s Encrypt folder trong /etc/letsencrypt/live/$domain tới thư mục /opt/zimbra/ssl/letsencrypt
mkdir /opt/zimbra/ssl/letsencrypt
cp /etc/letsencrypt/live/mail.hvn.space/* /opt/zimbra/ssl/letsencrypt/
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
– Bước 8: Verify chứng chỉ với phiên bản email server Zimbra 8.7 trở lên (Với phiên bản từ 8.6 trở xuống có dùng user root, nên bạn bỏ qua lệnh su zimbra
su zimbra
cd /opt/zimbra/ssl/letsencrypt
/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
– Bước 9: (Triển khai) Deploy Let’s Encrypt SSL certificate mới, lệnh bên dưới được sử dụng với quyền user
root
- Backup thư mục SSL của Zimbra
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date “+%Y%m%d”)
- Copy private key tới đường dẫn Zimbra SSL commercial
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key
- Deploy SSL
su zimbra
cd /opt/zimbra/ssl/letsencrypt
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
*Lưu ý: Lệnh deploy chứng chỉ SSL áp dụng với zimbra version 8.7 trở lên, đối với zimbra version 8.6 trở xuống thì bỏ qua
su zimbra
– Bước 10: Khởi động lại (Restart) service zimbra
su zimbra
zmcontrol restart
- Tiến hành kiểm tra sau khi cài đặt chứng chỉ SSL Let’s Encrypt:
Như vậy, bạn đã hoàn thành xong việc cài đặt SSL Let’s Encrypt trên email server Zimbra mà không hề bị tính phí. Nếu trong quá trình cài đặt, bạn gặp bất kỳ vấn đề khó giải quyết nào, hãy nhấp ngay vào ĐĂNG KÝ TẠI ĐÂY để các chuyên gia của chúng tôi hỗ trợ.
Tổng kết
HVN Group – Hệ sinh thái kiến tạo doanh nghiệp 4.0 – luôn đồng hành cùng sự phát triển của doanh nghiệp khi không chỉ cung cấp các gói chứng chỉ SSL mà còn sẵn sàng tư vấn và giải đáp mọi thắc mắc liên quan. Bất cứ khi nào bạn cần hỗ trợ về cài đặt SSL Let’s Encrypt cho email server Zimbra hoặc cần tìm hiểu chuyên sâu hơn, hãy kết nối với đội ngũ nhân viên với nhiều năm kinh nghiệm qua Hotline: 024.9999.7777.