Créer un certificat approuvé avec Windows Server 2016 ADCS 1. Installer ADCS (Autorité de Certification) Si ADCS n'est pas encore installé sur votre serveur Windows 2016, suivez ces étapes : Ouvrez Server Manager, puis cliquez sur Add roles and features. Sélectionnez Active Directory Certificate Services (ADCS) et suivez l'assistant d'installation. Lors de la configuration, sélectionnez Certification Authority. 2. Configurer l’Autorité de Certification Ouvrez Server Manager et accédez à ADCS. Dans Certification Authority, choisissez Standalone CA ou Enterprise CA selon votre environnement. Définissez la durée de vie du certificat racine et le type de certificat. Terminez la configuration et assurez-vous que le service est opérationnel. 3. Créer et signer un certificat pour le serveur Web Générer une demande de certificat (CSR) : Ouvrez MMC (Microsoft Management Console). Ajoutez le module Certificates, puis sélectionnez Computer account. Sous Personal, choisissez All Tasks > Request New Certificate. Suivez l’assistant et générez la CSR avec les informations du serveur web (Nom commun, usage, etc.). Signer le certificat avec l’Autorité de Certification locale: Ouvrez Certification Authority (sur le serveur ADCS). Dans Pending Requests, trouvez la demande de certificat. Faites un clic droit et sélectionnez Issue pour valider. Exporter le certificat et l’installer sur le serveur Web : Une fois signé, revenez dans MMC. Sous Personal, trouvez le certificat, cliquez droit et sélectionnez Export. Exportez en format .pfx si vous souhaitez inclure la clé privée. extraire un certificat au format .crt et une clé privée à partir d'un fichier .pfx, voici les étapes à suivre : 1. Convertir le fichier PFX en CRT et clé privée Vous pouvez utiliser OpenSSL pour extraire les fichiers nécessaires. Extraction du certificat (.crt) openssl pkcs12 -in certificat.pfx -clcerts -nokeys -out certificat.crt Ce fichier certificat.crt sera utilisé pour le serveur Apache. Extraction de la clé privée openssl pkcs12 -in certificat.pfx -nocerts -nodes -out cle_privee.key Ce fichier cle_privee.key est la clé privée associée au certificat. 2. (Optionnel) Extraire la chaîne de certificats (CA Bundle) Si votre certificat a été délivré par une autorité, vous devrez extraire la chaîne de certificats intermédiaires : openssl pkcs12 -in certificat.pfx -cacerts -nokeys -out ca_bundle.crt Cela garantit que votre certificat est correctement validé par les navigateurs. 3. Configurer Apache Ajoutez ces fichiers dans la configuration de votre VirtualHost Apache : apache ServerName votre-domaine.com SSLEngine on SSLCertificateFile /chemin/vers/certificat.crt SSLCertificateKeyFile /chemin/vers/cle_privee.key SSLCertificateChainFile /chemin/vers/ca_bundle.crt Puis, redémarrez Apache : systemctl restart apache2 Une fois ces étapes complétées, votre serveur web utilisera un certificat approuvé par votre propre autorité ADCS. Ainsi, les connexions seront sécurisées sans avertissement de certificat non approuvé. Pour utiliser ces certificats sur un serveur Zimbra 8.8.15, voici les étapes à suivre : 1. Convertir le certificat au format Zimbra Zimbra utilise des certificats au format PEM, donc assurez-vous que votre certificat et votre clé privée sont bien en Base64 ASCII. Si votre certificat est en PFX, convertissez-le avec OpenSSL : openssl pkcs12 -in certificat.pfx -clcerts -nokeys -out commercial.crt openssl pkcs12 -in certificat.pfx -nocerts -nodes -out commercial.key openssl pkcs12 -in certificat.pfx -cacerts -nokeys -out commercial_ca.crt Placez ces fichiers dans le répertoire /opt/zimbra/ssl/zimbra/commercial/. 2. Vérifier la chaîne de certificats Avant de déployer le certificat, vérifiez qu'il est valide : /opt/zimbra/openssl/bin/openssl verify -CAfile commercial_ca.crt commercial.crt Si la vérification est réussie, vous verrez un message OK. 3. Déployer le certificat sur Zimbra Utilisez la commande suivante pour installer le certificat : /opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt Puis redémarrez les services Zimbra : zmcontrol restart 4. Vérifier l’installation Après le redémarrage, vérifiez que le certificat est bien installé : /opt/zimbra/bin/zmcertmgr viewcrt comm