Tại sao lại cần TLS/SSL cho máy chủ Mail ?
Trong bài viết này, chúng tôi sẽ hướng dẫn cho bạn cách để cài đặt SSL Lets Encrypt cho Zimbra Mail Server của bạn. Tuy nhiên trước đó chúng tôi sẽ giới thiệu một chút về tại sao bạn cần phải cài đặt SSL cho máy chủ mail của bạn.
Có hai lý do quan trọng giải thích tại sao bạn cần cài đặt chứng chỉ máy chủ Mail:
- Tránh những hacker có thể khai thác mail của bạn. Vẫn có những cách khai thác có thể được sử dụng để chống lại việc gửi mail, ngay cả khi bản thân thư được mã hóa. Hãy nghĩ về việc kẻ tấn công không thể đọc tin nhắn, nhưng họ chắc chắn có thể biết tuyến đường mà nó truyền đi, nó được gửi cho ai, kích thước của nó, v.v…
- Nếu bạn chưa cài SSL cho máy chủ mail của mình, các email truyền qua máy chủ của bạn sẽ ở dạng văn bản rõ ràng và những kẻ tấn công có thể dễ dàng thực hiện một cuộc tấn công man-in-the-middle (MiTM) và xem hoặc giả mạo dữ liệu của bạn. Đây là một vấn đề lớn và có thể dẫn đến vi phạm dữ liệu và nhiều lo ngại về bảo mật khác. Chưa kể rằng chứng chỉ SSL cho máy chủ thư của bạn giúp bạn không chỉ kết hợp mã hóa mà còn cả kiểm tra danh tính vào giao thức của mình. Khi bạn sử dụng SSL, bạn có thể đăng nhập an toàn vào máy chủ thư của mình và tránh gửi thông tin xác thực đăng nhập của bạn qua internet dưới dạng văn bản rõ ràng.
Cài đặt SSL lets Encrypt cho Zimbra
Lets Encrypt là một cơ quan cấp chứng chỉ SSL, nó được biết như một giải pháp hỗ trợ SSL miễn phí, tự động. Để cài đặt SSL Lets Encrypt cho Zimbra Mail Server bạn hãy thực hiện theo các bước sau:
Bước 1: Bạn đăng nhập vào user zimbra và thực hiện tắt đi proxy services trên Zimbra
su - zimbra zmproxyctl stop
Bước 2: Bạn hãy cài đặt git trên máy chủ Mail (apt install git || yum install git ). Sau đó clone chứng chỉ Lets Encrypt trên dự án Github và truy cập vào thư mục letsencrypt đã clone.
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
Bước 3: Bạn hãy chạy SSL Lets Encrypt cho Zimbra ở chế độ tự động và sử dụng tùy chọn certonly.
./letsencrypt-auto certonly --standalone
Nếu bạn có nhiều hostname trên máy chủ Mail của bạn, bạn có thể chạy cho toàn bộ hostname đó cùng một SSL, một Multi-SAN SSL, hãy sử dụng tùy chọn -d trước các hostname của bạn.
./letsencrypt-auto certonly --standalone -d mail.yourdomain.com -d pop.yourdomain.com -d imap.yourdomain.com -d webmail.yourdomain.com …
Bước 4: Bạn cần cho cho hệ thống thực hiện update và cài đặt các package cần thiết. Tiến trình sẽ yêu cầu bạn nhập một email để nhận thông báo về việc gia hạn SSL Lets Encrypt cho Zimbra Mail Server hoặc các thông tin về bảo mật.
Bước 5. Quá trình này sẽ mất vài giây để xác thực và sau đó kết thúc. Bạn sẽ nhận được thông báo như bên dưới sau khi hoàn tất.
Bước 6: Bạn có thể tìm thấy các chứng chỉ SSL Lets Encrypt cho Zimbra nằm tại đường dẫn /etc/letsencrypt/live/$yourdomain với $yourdomain là FQDN ma bạn thiết lập với các files sau:
- cert.pem là file chứa chứng chỉ SSL
- chain.pem là file Intermediate chain
- fullchain.pem là file kết hợp của cert.pem và chain.pem
- privkey.pem là key của chứng chỉ SSL và hãy đảm bảo tính bảo mật cho private key của bạn.
Sau đó bạn hãy xây dựng một file Certificate Authority (CA) trung gian chèn vào cuối files chain.pem của bạn. Sao chép tất cả thư mục Let’s Encrypt với tất cả các tệp /etc/letsencrypt/live/$yourdomain vào /opt/zimbra/ssl/letsencrypt:
mkdir /opt/zimbra/ssl/letsencrypt cp /etc/letsencrypt/live/$yourdomain/* /opt/zimbra/ssl/letsencrypt/ chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
Bước 7: Truy cập vào user zimbra và xác minh chứng chỉ SSL của bạn với câu lệnh sau:
su - zimbra cd /opt/zimbra/ssl/letsencrypt/ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
Bạn sẽ nhận được kết quả như bên dưới, nếu không bạn sẽ cần kiểm tra lại chứng chỉ SSL trước đó đã cấu hình.
Trước khi triển khai deploy chứng chỉ SSL Lets Encrypt cho Zimbra, bạn nên backup thư mục SSL sau đó sao chép privkey.pem vào thư mục SSL của Zimbra.
cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d") cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
Bước 8: Deploy chứng chỉ SSL Lets Encrypt cho Zimbra với câu lệnh sau:
/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem
Sau đó, bạn cần khởi động lại các dịch vụ trên máy chủ Zimbra, thao tác này sẽ khởi động lại nginx hoặc các services mà bạn đã dừng trước đó:
zmcontrol restart
Sau khi các dịch vụ được restart thành công, bạn hãy truy cập vào đường dẫn truy cập vào máy chủ mail của mình hoặc sử dụng câu lệnh OpenSSL để kiểm tra lại.
echo QUIT | openssl s_client -connect $yourdomain:443 | openssl x509 -noout -text | less
Tổng kết
Ở bài viết trên chúng tôi đã hướng dẫn cho bạn cách để cài đặt SSL Lets Encrypt cho Zimbra Mail Server.
Trong trường hợp bạn cần thêm các thông tin về dịch vụ hoặc các hướng dẫn cài đặt trên hệ thống của bạn, bạn có thể xem thêm về chuyên đề Email Server tại đây.
Nếu bạn có bất kỳ câu hỏi hoặc phản hồi nào, hãy để lại bình luận bên dưới.
Leave A Comment?