Crear certificados SSL con firma SHA256 en Zimbra

El otro día hablábamos sobre la importancia de utilizar un hash en la firma de certificados de al menos 256bits. Hoy veremos cómo implementarlo en Zimbra.

Zimbra ha mejorado la seguridad de los CSR cambiado el comportamiento por defecto a partir de la versión 8.6. Solo es necesario realizar esta tarea si la versión de Zimbra es inferior a 8.6.

Es necesario modificar el script que genera las solicitudes de certificado:
/opt/zimbra/bin/zmcertmgr

Y añadir a la librería OpenSSL la directiva -sha256 durante la generación del certificado:

Antes (SHA-1):

Ahora (SHA-2):

Una vez guardes los cambios, todos las nuevas Solicitudes de Firma de Certificado (CSR) se generarán firmadas con SHA256.

Si quieres validar si todo ha ido bien, puedes consultar la herramienta online de verificación de CSR de Symantec.

Otra opción es utilizar el interfaz gráfico para hacerlo, y escoger manualmente la opción SHA256

Zimbra Admin -> Configurar -> Certificados -> Instalar Certificados

Crear CSR desde Zimbra con SHA256

Crear CSR desde Zimbra con SHA256

A partir de la versión 8.6 de Zimbra la opción por defecto en la interfaz web también es SHA256.

Nota: es importante que los certificados intermedios también estén firmados con SHA256 o superior.

Desde Irontec recomendamos instalar o actualizar versiones anteriores a Zimbra 8.6 ya que solventa y mejora varios problemas de seguridad como:

Si necesitas soporte para hacerlo, no dudes en contactarnos.

Más información relativa a la seguridad en Zimbra, en el Wiki de Segurida de Zimbra.



¿Te gusta este post? Es solo un ejemplo de cómo podemos ayudar a tu empresa...
Sobre Iker Sagasti Marquina

Iker Sagasti es CEO de Irontec, con más de 15 años de experiencia trabajando con Software Libre. Ingeniero de Telecomunicaciones, aficionado a la fotografía y viajero empedernido. Cuenta los días para cumplir el sueño de trabajar en chanclas delante de una playa con una cerveza fría en mano.

1 Comentario

¿Por qué no comentas tú también?


  • Buenos dias Iker.
    Tengo una duda referente a mi servidor de correo zimbra. he comprado un certificado UCC SANs de Godaddy este certificado valida 1 dominio y 5 Sans, que lo he usado para mis siguiente dominio y sans:
    svr-zm-01.cavallaro.com.py
    mail.cavallaro.com.py
    imap.cavallaro.com.py
    smtp.cavallaro.com.py
    apps.cavallar.com.py

    Pero dentro de mi servidor zimbra tengo alojado varios dominios a las cuales quiero tambien instalarle otros certificados ssl unos de esos dominios es:
    mail.surcomercial.com.py
    imap.surcomercial.com.py
    smtp.surcomercial.com.py
    apps.surcomercial.com.py
    pero no se como instalar un certificado ssl por cada dominio dentro de mi servidor de correo zimbra.? favor si serias tan amable de guiarme en esta duda te lo agradeceria ya que llevo mas de 1 mes investigando la solucion y no encuentro una solucion. desde ante manos gracias SALUDOS DESDE PARAGUAY.

    julio cesar vallejos zoilan Hace 3 años Responde


Queremos tu opinión :)