ZCS证书的重新签发
今天晚上突然发现公司的zimbra邮件服务器页面无法打开,进入系统查看下zimbra启动的服务项,发现ldap启动失败,于是网上找了下资料,现在分享一下心得(复制过来的)。实测,有效!
ZCS默认的证书只能使用一年,到期后需要重新签发,如果不签发,可以会使ZCS的服务无法启动,表现的情况为:
Starting ldap...Done.
Unable to determine enabled services from ldap.
Enabled services read from cache. Service list may be inaccurate.
复制代码
或者为
ldap Stopped
logger Stopped
复制代码
出现这些情况的原因主要有四种,很可能为证书过期或失效这种原因,解决这个问题的方法其实也非常简单,就是重新签发ZCS证书即可,下面就讲一下证书签发的过程及情况,其他原因造成ZCS因LDAP问题无法启动部分服务的原因我会有空时发帖总结,谢谢支持。
分为两种情况:
一 ZCS服务正常,但想延长证书使用的时间;
用root执行里下命令,签发一个可以使用20年的证书。
#/opt/zimbra/bin/zmcertmgr createca -new
#/opt/zimbra/bin/zmcertmgr deployca
#/opt/zimbra/bin/zmcertmgr createcrt -new -days 7300
#/opt/zimbra/bin/zmcertmgr deploycrt self
#/opt/zimbra/bin/zmcertmgr viewdeployedcrt
复制代码
执行完成后重启postfix服务即可生效,命令为:#postfix reload。
二 如果ZCS服务已经无法全部启动,那么先停止ZCS服务,执行以上命令后,再启动ZCS服务即可。
经测试,签发20年的证书全部成功,签发50年的证书可能会失败。
下面为签发的过程(此过程中有部分failed,仅供参考,实际成功签发时代码不同):
[root@mail ~]# /opt/zimbra/bin/zmcertmgr createca -new
** Creating /opt/zimbra/ssl/zimbra/ca/zmssl.cnf...done
** Creating CA private key /opt/zimbra/ssl/zimbra/ca/ca.key...done.
** Creating CA cert /opt/zimbra/ssl/zimbra/ca/ca.pem...done.
[root@mail ~]# /opt/zimbra/bin/zmcertmgr deployca
** Importing CA /opt/zimbra/ssl/zimbra/ca/ca.pem into CACERTS...done.
** Saving global config key zimbraCertAuthorityCertSelfSigned...failed.
** Saving global config key zimbraCertAuthorityKeySelfSigned...failed.
** Copying CA to /opt/zimbra/conf/ca...done.
[root@mail ~]# /opt/zimbra/bin/zmcertmgr createcrt -new -days 7300
Validation days: 7300
** Creating /opt/zimbra/conf/zmssl.cnf...done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20110415115810
** Generating a server csr for download self -new -keysize 1024
** Creating /opt/zimbra/conf/zmssl.cnf...done
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20110415115810
** Retrieving Commercial CA cert from ldap...failed.
** Creating server cert request /opt/zimbra/ssl/zimbra/server/server.csr...done.
** Saving server config key zimbraSSLPrivateKey...failed.
** Signing cert request /opt/zimbra/ssl/zimbra/server/server.csr...done.
[root@mail ~]# /opt/zimbra/bin/zmcertmgr deploycrt self
** Saving server config key zimbraSSLCertificate...failed.
** Saving server config key zimbraSSLPrivateKey...failed.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
[root@mail ~]# /opt/zimbra/bin/zmcertmgr viewdeployedcrt
::service mta::
notBefore=Apr 15 03:58:20 2011 GMT
notAfter=Dec 31 03:58:20 2030 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
SubjectAltName=
::service proxy::
notBefore=Apr 15 03:58:20 2011 GMT
notAfter=Dec 31 03:58:20 2030 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
SubjectAltName=
::service mailboxd::
notBefore=Apr 15 03:58:20 2011 GMT
notAfter=Dec 31 03:58:20 2030 GMT
subject= /C=US/ST=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
issuer= /C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Suite/OU=Zimbra Collaboration Suite/CN=mail.test.com.cn
SubjectAltName=
::service ldap::
复制代码
成功签发证书后,可以通过IE管理页面,查看证书的使用时间。管理页面---工具---证书查看证书到期时间。
成功,哈哈。
转载于:https://blog.51cto.com/yangxiaofei/1358242
ZCS证书的重新签发相关推荐
- ”该证书已被签发机构吊销“错误解决方案
昨天安装配置outlook的时候,由于公司要求要使用修改过的outlook才能使用,在官网下载安装证书后,总是不成功,各种错误不断,总是出现"该证书已被签发机构吊销"的错误,但是明 ...
- http系列---OpenSSL生成根证书CA及签发子证书
文章目录 1. 前言 2. 修改OpenSSL的配置 3. 生成根证书 4. 用根证书签发server端证书 5. 用根证书签发client端证书 6. 导出证书 7. 附项目证书目录 1. 前言 系 ...
- OpenSSL生成根证书CA及签发子证书
转自:https://yq.aliyun.com/articles/40398 摘要: 系统:CentOS7 32位 目标:使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书serve ...
- nginx自签SSL证书和Symantec签发证书使用
2019独角兽企业重金招聘Python工程师标准>>> 自签证书 生成证书 mkdir /usr/local/nginx/conf/ssl cd !$ # 新建目录openssl g ...
- [教程]openssl中证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
前言 0.OPENSSL 什么是openssl? OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份.这个包广泛被应用在互联网的网页服 ...
- 自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书
Nginx支持多域名ssl证书 导读: 昨天凌晨将公司旗下的另外一个域名也升级成通过ssl证书登录的形式,那里料到过程竟然非常曲折,原因是nginx如果编译的时候使用openssl如果没有添加enab ...
- openssl 自建CA签发证书 网站https的ssl通信
<<COMMENT X509 文件扩展名 首先我们要理解文件的扩展名代表什么.DER.PEM.CRT和CER这些扩展名经常令人困惑. 很多人错误地认为这些扩展名可以互相代替.尽管的确有时候 ...
- openssl 签发sm2证书_首个NSA公开披露的软件系统漏洞——CVE20200601数字证书验证漏洞分析与实验...
文/林璟锵 刘广祺 孟令佳 万会庆 王琼霄 王伟 王文杰 徐博文 中国科学院数据与通信保护研究教育中心 中国科学院信息工程研究所 信息安全国家重点实验室 1. CVE-2020-0601漏洞 2020 ...
- acme + acme-dns + google domains 签发泛域名证书
acme + acme-dns + (google domains 或 cloudflare) 签发泛域名证书 1. acme.sh # 下载 curl https://get.acme.sh | s ...
最新文章
- php fastcgi配置_IIS7.5配置php(FastCGI)- 自动配置
- 再改YOLO | YOLO-ReT让边缘端也可以实时检测
- HDU 2159 FATE 动态规划二维费用的背包问题
- 哈希算法python_哈希算法(Python代码实现)
- 【小白学PyTorch】13.EfficientNet详解及PyTorch实现
- 【通俗易懂】C语言中,for循环中i++与++i的区别
- git之checkout代码
- 漫画解读软件开发模式
- 正确做事与做正确的事
- 从0开始使用腾讯云GPU服务器
- SAP案例教程SD销售后台配置
- win10怎么更新显卡驱动_荒野大镖客2优化:NVIDIA更新GeForce 441.41显卡驱动
- python语音库_python音频库dejavu原理浅析
- 孤荷凌寒自学python第二十一天初识python的类
- 哪种耳机对听力伤害小?骨传导耳机能保护听力吗?
- 图像修复神器!带上口罩都能还原!DDPM:用去噪扩散概率模型极限修复图像,效果太牛了!...
- [置顶] 我读《海底两万里》
- SQL Server如何导入mdf,ldf文件
- 导航条动态模糊效果实现原理实战
- (42)[ICCV17] Mask R-CNN
热门文章
- 绝地求生服务器维护需要多久,绝地求生8月4日更新到几点?绝地求生维护一次需要多长时间?...
- Retinanet训练自己的数据(1):数据准备
- 视频监控技术的发展对于市场的影响越来越大
- 前端js使浏览器窗口全屏与退出----浏览器全屏时 监测通过esc按键退出全屏 (退出全屏时有页面上的相关处理)
- LOGO 8.3 Web Server功能
- 【Android取证篇】华为手机OTG备份密码重置教程
- Hololens2项目基础开发
- php微信支付mch_id参数格式错误,在.net core上,Web网站调用微信支付-统一下单接口(xml传参)一直返回错误:mch_id参数格式错误...
- cgi进程设置多少 宝塔_比宝塔面板还要强大的Linux服务器端管理面板——AppNode...
- 做了个新网站http://qq.ihaonet.com/全球最大QQ聊天交友网站