Changes

Daniel Viñar Ulriksen · 350b4fd2
--- a/letsencrypt-en-zimbra.md
+++ b/letsencrypt-en-zimbra.md
+Pasamos a esta wiki lo que tiempo [gestionamos acá](http://proyectos.interior.edu.uy/projects/servidores/wiki/Instructivo_para_instalar_y_configurar_Let's_Encrypt), actualizando.
+
+Última renovación reportada en [#405](https://git.interior.edu.uy/adminsys/config/-/issues/405#note_7510).
+
+## parar el servicio http(s) de zimbra
+
+Como usuario zimbra:
+```bash
+su -u zimbra 
+zmmailboxdctl stop
+exit
+```
+
+## Renovar los certificados con certbot
+
+Como root:
+* si renovamos en dirac:
+
+```bash
+certbot certonly --standalone -d dirac.csic.edu.uy -d correo.csic.edu.uy -d imaps.csic.edu.uy -d smtps.csic.edu.uy -d correo.cci.edu.uy -d imaps.cci.edu.uy -d smtps.cci.edu.uy -d correo.ei.udelar.edu.uy -d imaps.ei.udelar.edu.uy -d smtps.ei.udelar.edu.uy -d correo.chea.udelar.edu.uy --force-renewal --preferred-chain "ISRG Root X1" --key-type rsa
+
+wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
+
+cd /etc/letsencrypt/live/dirac.csic.edu.uy-00XX
+
+cat /tmp/ISRG-X1.pem >> chain.pem
+```
+
+* si renovamos en godel:
+
+```bash
+certbot certonly --standalone -d godel.csic.edu.uy -d correo.cup.edu.uy -d imaps.cup.edu.uy -d smtps.cup.edu.uy -d correo.cut.edu.uy -d correo.cepe.edu.uy -d correo.cerrolargo.udelar.edu.uy -d correo.cur.edu.uy -d correo.cure.edu.uy -d imaps.cure.edu.uy -d smtps.cure.edu.uy -d correo.cucel.edu.uy -d correo.interior.udelar.edu.uy -d correo.litoralnorte.udelar.edu.uy -d correo.noreste.udelar.edu.uy -d correo.posgrados.udelar.edu.uy  -d correo.tacuarembo.udelar.edu.uy -d correo.idiis.edu.uy --force-renewal --preferred-chain "ISRG Root X1" --key-type rsa
+
+Lo que arrojará algo como:
+```bash
+Saving debug log to /var/log/letsencrypt/letsencrypt.log
+
+Requesting a certificate for godel.csic.edu.uy and 17 more domains
+
+Successfully received certificate.
+Certificate is saved at: /etc/letsencrypt/live/godel.csic.edu.uy-0007/fullchain.pem
+Key is saved at:         /etc/letsencrypt/live/godel.csic.edu.uy-0007/privkey.pem
+This certificate expires on 2024-04-24.
+These files will be updated when the certificate renews.
+Certbot has set up a scheduled task to automatically renew this certificate in the background.
+
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+If you like Certbot, please consider supporting our work by:
+ * Donating to ISRG / Let&apos;s Encrypt:   https://letsencrypt.org/donate
+ * Donating to EFF:                    https://eff.org/donate-le
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+```
+Conviene tomar nota de la carpeta creada para el nuevo certificado: **`/etc/letsencrypt/live/godel.csic.edu.uy-0007/`**
+
+Descargamos el certificado raíz y lo concatenamos al `chain.pem` en esta nueva carpeta:
+```bash
+wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
+
+cd /etc/letsencrypt/live/godel.csic.edu.uy-0007/
+
+cat /tmp/ISRG-X1.pem >> chain.pem
+```
+
+# Importación en zimbra del nuevo certificado
+
+Nuevamente como usuario zimbra, y considerando el directorio en el que se generó el nuevo certificada, ejecutamos (acá con los datos del mismo ejemplo):
+
+```bash
+su - zimbra
+
+cd /etc/letsencrypt/live/godel.csic.edu.uy-0007/
+
+/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem 
+
+cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")
+
+cp privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
+
+/opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem 
+
+zmcontrol restart
+```
+
+¡Y ya está!
\ No newline at end of file