Промежуточный сертификат для Let's encrypt

[lone_wolf]

Всем доброго времени суток!
Для использования сертификатов Let's encrypt для почтового сервера zimbra после получения сертификата нужно в файл chain.pem добавить промежуточный сертификат который можно было взять по вот такому пути https://www.identrust.com/certificates/trustid/root-download-x3.html выглядел он вот так

Spoiler

-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Но эти редиски trustid взяли и всё поломали переделав сайт
И как теперь брать промежуточный сертификат?
Ну посмотрев на новый сайт и на старую ссылку логически подумать что интересующее меня находится внизу в разделе TrustID X3 по ссылке Root Certificate Download но нажав на неё я получаю сертификат с расширением p7b (полное имя trustidrootx3_chain.p7b). И вот тут самое интересное как мне выцарапать оттуда нужное мне? Или может кто знает новую ссылку где может лежать промежуточный сертификат

[Hephaestus]

Это контейнер p7b. Он может содержать несколько сертификатов, если правильно помню.

Работать с этим хозяйством можно как-то так:

Shell

openssl pkcs7 -in trustidrootx3_chain.p7b -inform DER -outform PEM -out file.pem

Shell

openssl pkcs7 -in file.pem -print_certs -out certs.pem

Ну или одной командой

Shell

openssl pkcs7 -in trustidrootx3_chain.p7b -inform DER -print_certs -out certs.pem

А вообще man pcks7

[Bizdelnick]

Зачем оно понадобилось вдруг? Корневой сертификат Let's Encrypt давно уже входит во все стандартные наборы. Если система старая — подсуньте его самостоятельно, а не identrust (который уж точно у Вас и так есть). Ну и вообще, чего ради Вы всё это затеяли? Потому что что-то не работает, или потому что в каком-то древнем мануале написали какую-то глупость?

[lone_wolf]

Hephaestus Спасибо

Зачем оно понадобилось вдруг? Корневой сертификат Let's Encrypt давно уже входит во все стандартные наборы. Если система старая — подсуньте его самостоятельно, а не identrust (который уж точно у Вас и так есть). Ну и вообще, чего ради Вы всё это затеяли? Потому что что-то не работает, или потому что в каком-то древнем мануале написали какую-то глупость?

Сертификат подходил концу срока мой от Let's encrypt решил обновить.
Ну мануал не такой уж и старый тыц, в добавок официальный от Zimbra.

[Bizdelnick]

А, речь о том, чтобы добавить корневой сертификат от IdenTrust в цепочку. На это можно спокойно забить. Корневой сертификат в цепочке в принципе не нужен, он всё равно берётся из доверенного хранилища. В тесте от SSLLabs его наличие, наоборот, считается ошибкой, потому что в результате только лишние байты по сети гоняются.

[lone_wolf]

Bizdelnick при попытке проверки сертификата без корневого вылетает ошибка

Shell

/opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
....
ERROR: Unable to validate certificate chain: cert.pem: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
error 2 at 1 depth lookup:unable to get issuer certificate

А если с ним то всё ок:

Shell

root@zimbra86:/opt/zimbra/ssl/letsencrypt/# /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying cert.pem against privkey.pem
Certificate (cert.pem) and private key (privkey.pem) match.
Valid Certificate: cert.pem: OK

[Bizdelnick]

Странная эта зимбра, что тут ещё можно сказать…

[lone_wolf]

Странная эта зимбра, что тут ещё можно сказать…

Вот вот и я о том же