Logo ID Digital

Guía técnica para generar el CSR en Zimbra con zmcertmgr e instalar el certificado SSL emitido junto con el bundle de la cadena.

Guía técnica para generar el CSR en Zimbra con zmcertmgr e instalar el certificado SSL emitido junto con el bundle de la cadena.

Introducción

Este manual describe cómo generar un CSR en Zimbra y cómo instalar un certificado SSL emitido por una Autoridad Certificadora usando los comandos de zmcertmgr y openssl. El proceso se divide en dos partes:

  1. Crear un CSR en Zimbra.
  2. Instalar el certificado SSL en Zimbra.

Requisitos

Antes de comenzar, verificá que:

  • Podés iniciar sesión como root en el servidor Zimbra.
  • Tenés instalado y funcionando Zimbra en /opt/zimbra.
  • Contás con acceso de consola (SSH/terminal) para ejecutar comandos.

1. Crear un CSR en Zimbra

1.1 Iniciar sesión como root

  1. Conectate al servidor Zimbra.
  2. Iniciá sesión como usuario root.

1.2 Ejecutar el comando de creación de CSR

Utilizá el siguiente comando como base y ajustalo con los datos de tu organización y dominio:

/opt/zimbra/bin/zmcertmgr createcsr comm -new "/C = UY/ST = Montevideo/L = Montevideo/O = MiEmpresa S.A/OU = TI/CN = sudominio.com"

Donde:

  • C → Código de país (por ejemplo, UY).
  • ST → Estado / Provincia.
  • L → Ciudad.
  • O → Nombre de la organización (como figura en DGI).
  • OU → Departamento (por ejemplo, TI).
  • CN → Common Name (por ejemplo, mail.dominio.com o *.dominio.com para wildcard).

1.3 Agregar SubjectAltNames (opcional)

Si querés incluir más de un nombre en el CSR, agregá el parámetro -subjectAltNames al final del comando:

/opt/zimbra/bin/zmcertmgr createcsr comm -new "/C = UY/ST = Montevideo/L = Montevideo/O = MiEmpresa S.A/OU = TI/CN = sudominio.com" -subjectAltNames "www.midominio.com, correo.midominio.com"

1.4 Ubicación del CSR

Al ejecutar el comando, Zimbra generará el archivo CSR en:

/opt/zimbra/ssl/zimbra/commercial/commercial.csr

Este archivo es el que vas a utilizar para realizar el pedido del certificado (cuando lo cargues en el sitio de la Autoridad Certificadora, seleccioná “Other” como software del servidor).

2. Instalar el certificado SSL en Zimbra

Una vez emitido el certificado, vas a recibir un correo con un enlace de descarga.

2.1 Descargar el certificado del sitio

  1. Desde el enlace incluido en el correo, descargá el certificado del sitio en formato plano (texto Base-64).

  2. Guardá el archivo en el servidor con un nombre similar a:

    /opt/zimbra/ssl/zimbra/commercial/su_dominio.cer

2.2 Descargar el bundle de la cadena

A continuación, descargá el bundle correspondiente al tipo de certificado que tramitaste:

  • Para certificados DV → bundle DV.
  • Para certificados OV → bundle OV.
  • Para certificados EV → bundle EV.

Guardá el archivo del bundle con el nombre:

/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Podés editar la extensión directamente al guardar; el archivo mantiene su formato Base-64.

2.3 Validar la cadena de certificados

Con ambos archivos (su_dominio.cer y commercial_ca.crt) en la carpeta /opt/zimbra/ssl/zimbra/commercial/, verificá la cadena con:

/opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt su_dominio.cer

Si la verificación es correcta, el comando indicará que el certificado es OK.

2.4 Desplegar el certificado en Zimbra

Para habilitar el nuevo certificado en Zimbra, ejecutá:

/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt

Nota: si guardaste el certificado con otro nombre (por ejemplo su_dominio.cer), podés renombrarlo a commercial.crt o adaptar el comando anterior reemplazando commercial.crt por el nombre que estés utilizando.

Este comando instalará el certificado comercial y su cadena en la configuración de Zimbra.

3. Verificación final

Luego de desplegar el certificado:

  1. Reiniciá los servicios de Zimbra si corresponde, según tu versión y entorno.
  2. Accedé a la interfaz de Zimbra o al servicio de correo a través de HTTPS usando el nombre de host configurado en el certificado (por ejemplo, https://mail.midominio.com).
  3. Verificá en el navegador que:
    • La conexión se muestra como segura.
    • El certificado está emitido para el dominio correcto.
    • No aparecen advertencias de certificado no confiable.

Recomendaciones

  • Guardá copias de respaldo de:
    • El archivo commercial.csr (CSR original).
    • El certificado emitido (su_dominio.cer o commercial.crt).
    • El bundle (commercial_ca.crt).
  • No compartas la clave privada ni el acceso al servidor con personas no autorizadas.
  • Para futuras renovaciones, podés reutilizar la misma estructura de carpetas, generar un nuevo CSR y repetir el proceso de instalación del certificado.

Recursos del manual