El otro día hablábamos sobre la importancia de utilizar un hash en la firma de certificados de al menos 256bits. Hoy veremos cómo implementarlo en Zimbra.
Zimbra ha mejorado la seguridad de los CSR cambiado el comportamiento por defecto a partir de la versión 8.6. Solo es necesario realizar esta tarea si la versión de Zimbra es inferior a 8.6.
Es necesario modificar el script que genera las solicitudes de certificado:
/opt/zimbra/bin/zmcertmgr
Y añadir a la librería OpenSSL la directiva -sha256
durante la generación del certificado:
Antes (SHA-1):
${openssl} req -new -nodes -out ${current_csr} -keyout ${current_key}
Ahora (SHA-2):
${openssl} req -sha256 -new -nodes -out ${current_csr} -keyout ${current_key}
Una vez guardes los cambios, todos las nuevas Solicitudes de Firma de Certificado (CSR) se generarán firmadas con SHA256.
Si quieres validar si todo ha ido bien, puedes consultar la herramienta online de verificación de CSR de Symantec.
Otra opción es utilizar el interfaz gráfico para hacerlo, y escoger manualmente la opción SHA256
Zimbra Admin -> Configurar -> Certificados -> Instalar Certificados
A partir de la versión 8.6 de Zimbra la opción por defecto en la interfaz web también es SHA256.
Nota: es importante que los certificados intermedios también estén firmados con SHA256 o superior.
Desde Irontec recomendamos instalar o actualizar versiones anteriores a Zimbra 8.6 ya que solventa y mejora varios problemas de seguridad como:
Si necesitas soporte para hacerlo, no dudes en contactarnos.
Más información relativa a la seguridad en Zimbra, en el Wiki de Segurida de Zimbra.
1 Comentario
¿Por qué no comentas tú también?
Buenos dias Iker.
Tengo una duda referente a mi servidor de correo zimbra. he comprado un certificado UCC SANs de Godaddy este certificado valida 1 dominio y 5 Sans, que lo he usado para mis siguiente dominio y sans:
svr-zm-01.cavallaro.com.py
mail.cavallaro.com.py
imap.cavallaro.com.py
smtp.cavallaro.com.py
apps.cavallar.com.py
Pero dentro de mi servidor zimbra tengo alojado varios dominios a las cuales quiero tambien instalarle otros certificados ssl unos de esos dominios es:
mail.surcomercial.com.py
imap.surcomercial.com.py
smtp.surcomercial.com.py
apps.surcomercial.com.py
pero no se como instalar un certificado ssl por cada dominio dentro de mi servidor de correo zimbra.? favor si serias tan amable de guiarme en esta duda te lo agradeceria ya que llevo mas de 1 mes investigando la solucion y no encuentro una solucion. desde ante manos gracias SALUDOS DESDE PARAGUAY.
julio cesar vallejos zoilan Hace 9 años
Queremos tu opinión :)