problema zimbra certificado caducado ldap no levanta

Post Reply
chelinux
Posts: 29
Joined: Sat Jul 15, 2017 5:02 pm

problema zimbra certificado caducado ldap no levanta

Post by chelinux »

Saludos amigos tengo un servidor zimbra donde tenia instalado un certificado letscript, este certificado caduco lo renové y a partir de esto zimbra no se levanta tenia varios errores que los he ido arreglando pero ahora tengo uno que no levanta, pensé que era problema del certificado letscrpt generé un auto firmado pero aún así no levanta, el mensaje de erros que tengo es este

Connect: Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't exist.

He revisado las zonas el archivo /etc/host el hostname y esta todo bien paso a detallar lo que realice

Paso 1

[zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr createca -new
** Creating directory '/opt/zimbra/ssl/zimbra'
** Creating directory '/opt/zimbra/ssl/zimbra/ca'
** Creating directory '/opt/zimbra/ssl/zimbra/commercial'
** Creating directory '/opt/zimbra/ssl/zimbra/server'
** Creating directory '/opt/zimbra/ssl/zimbra/ca/newcerts'
** Touching file '/opt/zimbra/ssl/.rnd'
** Touching file '/opt/zimbra/ssl/zimbra/ca/index.txt'
** Creating /opt/zimbra/ssl/zimbra/ca/zmssl.cnf
** Retrieving CA private key from LDAP... failed
** Creating CA with new private key /opt/zimbra/ssl/zimbra/ca/ca.key
Generating a 2048 bit RSA private key

Paso 2

[zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr createcrt -new -days 365
** Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20180910143551
** Recreating /opt/zimbra/conf/zmssl.cnf
** Generating a server CSR of type 'self' for download
** Using CA cert in '/opt/zimbra/ssl/zimbra/ca/ca.pem'
** Using CA private key in '/opt/zimbra/ssl/zimbra/ca/ca.key'
** Retrieving Commercial CA cert from LDAP... failed
** Creating server cert request /opt/zimbra/ssl/zimbra/server/server.csr with keysize=2048 digest=sha256
** Saving config key 'zimbraSSLPrivateKey' via zmprov modifyServer mail.domain.com...failed (rc=1)
** Signing cert request /opt/zimbra/ssl/zimbra/server/server.csr

Paso 3
[zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr deploycrt self
** Saving config key 'zimbraSSLCertificate' via zmprov modifyServer mail.domain.com...failed (rc=1)
** Installing ldap certificate '/opt/zimbra/conf/slapd.crt' and key '/opt/zimbra/conf/slapd.key'
** Copying '/opt/zimbra/ssl/zimbra/server/server.crt' to '/opt/zimbra/conf/slapd.crt'
** Copying '/opt/zimbra/ssl/zimbra/server/server.key' to '/opt/zimbra/conf/slapd.key'
** Creating file '/opt/zimbra/ssl/zimbra/jetty.pkcs12'
** Creating keystore '/opt/zimbra/mailboxd/etc/keystore'
** Installing mta certificate '/opt/zimbra/conf/smtpd.crt' and key '/opt/zimbra/conf/smtpd.key'
** Copying '/opt/zimbra/ssl/zimbra/server/server.crt' to '/opt/zimbra/conf/smtpd.crt'
** Copying '/opt/zimbra/ssl/zimbra/server/server.key' to '/opt/zimbra/conf/smtpd.key'
** Installing proxy certificate '/opt/zimbra/conf/nginx.crt' and key '/opt/zimbra/conf/nginx.key'
** Copying '/opt/zimbra/ssl/zimbra/server/server.crt' to '/opt/zimbra/conf/nginx.crt'
** Copying '/opt/zimbra/ssl/zimbra/server/server.key' to '/opt/zimbra/conf/nginx.key'
** NOTE: restart services to use the new certificates.
** Cleaning up 3 files from '/opt/zimbra/conf/ca'
** Removing /opt/zimbra/conf/ca/ca.key
** Removing /opt/zimbra/conf/ca/ca.pem
** Removing /opt/zimbra/conf/ca/73cb7729.0
** Copying CA to /opt/zimbra/conf/ca
** Copying '/opt/zimbra/ssl/zimbra/ca/ca.key' to '/opt/zimbra/conf/ca/ca.key'
** Copying '/opt/zimbra/ssl/zimbra/ca/ca.pem' to '/opt/zimbra/conf/ca/ca.pem'
** Creating CA hash symlink '73cb7729.0' -> 'ca.pem'

Paso 4
zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr deployca
** Saving config key 'zimbraCertAuthorityCertSelfSigned' via zmprov modifyConfig...failed (rc=1)

Paso 5

[zimbra@mail ~]$ /opt/zimbra/bin/zmcertmgr viewdeployedcrt
- ldap: /opt/zimbra/conf/slapd.crt
notBefore=Sep 10 19:35:53 2018 GMT
notAfter=Sep 10 19:35:53 2019 GMT
subject= /OU=Zimbra Collaboration Server/CN=mail.domain.com
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=mail.domain.com
SubjectAltName=mail.domain.com
- mailboxd: /opt/zimbra/mailboxd/etc/mailboxd.pem
notBefore=Sep 10 19:35:53 2018 GMT
notAfter=Sep 10 19:35:53 2019 GMT
subject= /OU=Zimbra Collaboration Server/CN=mail.domain.com
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=mail.domain.com
SubjectAltName=mail.domain.com
- mta: /opt/zimbra/conf/smtpd.crt
notBefore=Sep 10 19:35:53 2018 GMT
notAfter=Sep 10 19:35:53 2019 GMT
subject= /OU=Zimbra Collaboration Server/CN=mail.domain.com
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=mail.domain.com
SubjectAltName=mail.domain.com
- proxy: /opt/zimbra/conf/nginx.crt
notBefore=Sep 10 19:35:53 2018 GMT
notAfter=Sep 10 19:35:53 2019 GMT
subject= /OU=Zimbra Collaboration Server/CN=mail.domain.com
issuer= /O=CA/OU=Zimbra Collaboration Server/CN=mail.domain.com
SubjectAltName=mail.domain.com

Paso 6

[zimbra@mail ~]$ zmcontrol start
Host mail.domain.com
Connect: Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't exist.
[zimbra@mail ~]$

Agradezco a todos quienes puedan guiarme cual puede ser el problema ya que he pasado 4 día intentando de todo y no logro resolver este problema
User avatar
pup_seba
Outstanding Member
Outstanding Member
Posts: 687
Joined: Sat Sep 13, 2014 2:43 am
Location: Tarragona - Spain
Contact:

Re: problema zimbra certificado caducado ldap no levanta

Post by pup_seba »

Hola,

Si es un servidor en producción y lo que prima es levantar los servicios lo antes posible, te diría que probaras relajar la seguridad a ver si con un poco de suerte puedes levantar servicios y "respirar tranquilo" hasta encontrar una solución definitiva. Para relajar la seguridad prueba con esto:
zmlocalconfig -e zimbra_require_interprocess_security=0
zmlocalconfig -e ssl_allow_untrusted_certs=true
zmlocalconfig -e ldap_starttls_supported=0
zmlocalconfig -e ldap_starttls_required=false
zmlocalconfig -e ldap_common_require_tls=0

Cuántos servidores tienes en esa instalación y qué roles? (single server ; multiserver con 1 ldap/store + 1 mta/proxy ; otros?)

Lo de let's encrypt todavía no lo controla porque no lo he usado nunca, es que ni sé bien qué es ni nada :D por lo que tampoco sé hasta qué punto es intrusivo con la gestión de certificados del propio zimbra (vamos, que igual te matas haciendo comanditos de zimbra para deploy de ca y en la propia instalación de let's encrypt se modifica el script de deploy de certificados...script que he modificado más de una vez por cierto por lo que no veo tan descabellado que otros lo hagan).

Prueba con esos comandos a ver si sales del apuro y ya luego durante el finde cuando no estén los usuarios y con snapshots mediante (servicios de zimbra parados al momento de hacer los snapshots) te lo miras con calma que las guías que dejó escritas Jorge son muy buenas y muy claras.

Ánimo!
chelinux
Posts: 29
Joined: Sat Jul 15, 2017 5:02 pm

Re: problema zimbra certificado caducado ldap no levanta

Post by chelinux »

Muchas gracias por responder, ejecuté los comandos que mencionas y el resultado es el mismo, este problema paso el día lunes y para agilitar el servicio instalé en otro disco zimbra y ahora los usuarios están trabajando sin problemas mientras veo com subo el servicio para poder sacar los emails y subirlo al nuevo servidor que esta ya en producción

[zimbra@mail ~]$ zmlocalconfig -e zimbra_require_interprocess_security=0
[zimbra@mail ~]$ zmlocalconfig -e ssl_allow_untrusted_certs=true
[zimbra@mail ~]$ zmlocalconfig -e ldap_starttls_supported=0
[zimbra@mail ~]$ zmlocalconfig -e ldap_starttls_required=false
[zimbra@mail ~]$ zmlocalconfig -e ldap_common_require_tls=0
[zimbra@mail ~]$ zmcontrol start
Host mail.eldominio.com
Connect: Unable to determine enabled services from ldap.
Unable to determine enabled services. Cache is out of date or doesn't exist.

Gracias
User avatar
pup_seba
Outstanding Member
Outstanding Member
Posts: 687
Joined: Sat Sep 13, 2014 2:43 am
Location: Tarragona - Spain
Contact:

Re: problema zimbra certificado caducado ldap no levanta

Post by pup_seba »

vaya...y estás seguro que el problema es por certificado y no por un db de ldap corrupta o algún tema de dns? Lo digo porque el tema certificados es delicado y peliagudo. A malas a malas y siempre con un snapshot al que puedas revertir y bajo tu propio riesgo, podrías probar de cargarte todo lo que tengas de certificados e intentar volver a desplegar.

Por ejemplo, tirando del cajón de los recuerdos, encontré este script (igual tiene 5 o 6 años y así que cógelo con pinzas que entre otras cosas por ejemplo, el usuario con el que se lanza lo del zmcertmgr ha cambiado)

#!/bin/sh -x

su - zimbra -c 'zmcontrol stop'
rm -rf /opt/zimbra/ssl/*
rm -rf /opt/zimbra/ssl/.rnd
/opt/zimbra/java/bin/keytool -delete -alias my_ca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit
/opt/zimbra/java/bin/keytool -delete -alias jetty -keystore /opt/zimbra/mailboxd/etc/keystore -storepass `su - zimbra -c 'zmlocalconfig -s -m nokey mailboxd_keystore_password'`
/opt/zimbra/bin/zmcertmgr createca -new -subject "/C=ES/ST=Tarragona/L=Tarragona/O=empresa/OU=Departamento IT/CN=Nuevo CA Interno"
/opt/zimbra/bin/zmcertmgr deployca -localonly
/opt/zimbra/bin/zmcertmgr createcrt self -new
/opt/zimbra/bin/zmcertmgr deploycrt self
su - zimbra -c 'zmcontrol start'
/opt/zimbra/bin/zmcertmgr deployca -allserver
/opt/zimbra/bin/zmcertmgr deploycrt self -allserver
su - zimbra -c 'zmcontrol restart'

No es para que lo copies y lo pegues y lo ejecutes, pero es por mostrarte como alguna vez tuve que solucionar problemas con certificados. Lo más pesado está en el almacén de certificados de java (lo del keytool). Ya te digo, son pistas que te doy porque para solucionar el problema de tu servidor hace falta verlo en detalle. SI TIENES SNAPSHOT, y ya que el servidor no está operativo, te diría de probar "borrón y cuenta nueva" en tus certificados. Si vieras que no se resuelve, revierte el snapshot que será más fácil que dejarlo como estaba a mano.

Saludos y suerte! (me alejo ahora del pc que llevo desde las 7:30am pegado y apenas he parado a comer :D...esto de la informática es puro vicio)
chelinux
Posts: 29
Joined: Sat Jul 15, 2017 5:02 pm

Re: problema zimbra certificado caducado ldap no levanta

Post by chelinux »

Gracias por responder amigo, estaba analizando este script y ya lo había intentado un par de comandos de ahí pero como es una versión nueva la que tengo instalado zimbra es esta Release 8.7.11_GA_1854.RHEL7_64_20170531151956 RHEL7_64 FOSS edition, Patch 8.7.11_P3.

Muchos archivos no están en su ubicación por ejemplo esta ruta no existe

Keystore file does not exist: /opt/zimbra/java/jre/lib/security/cacerts

Gracias
chelinux
Posts: 29
Joined: Sat Jul 15, 2017 5:02 pm

Re: problema zimbra certificado caducado ldap no levanta

Post by chelinux »

Revisando el servidor e intentando levantar mi zimbra veo que sale algo del hostname pero reviso y reviso todo y no logro dar con el problema con esto pregunto

Es posible levantar zimbra sin necesidad que tenga un certificado ?
Ldap se basa en el certificado para funcionar ?

Digo que tal vez sea el problema al generar el certificado y esta erróneo por esto

backupzimbra]$ zmmailbox -z -m cmartinez@midominio.com getRestURL "//?fmt=tgz" > cmartinez.tgz
ERROR: zclient.IO_ERROR (invoke connect timed out, server: localhost) (cause: java.net.SocketTimeoutException connect timed out)

Muchas gracias
Post Reply