Skip to main content

[#1 Troubleshoot] ERROR: Certificate 'poltekesos.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' do not match.

Error ini:

ERROR: Certificate 'poltekesos.crt' and private key '/opt/zimbra/ssl/zimbra/commercial/commercial.key' do not match.

menunjukkan bahwa private key yang sedang digunakan Zimbra (commercial.key) tidak cocok dengan sertifikat poltekesos.crt yang kamu berikan.

🔍 Penyebab

Kamu mungkin menggunakan private key (poltekesos.key) yang berbeda dari saat CSR (certificate signing request) dibuat untuk poltekesos.crt. Maka perlu pastikan lagi file key dan crt cocok.

✅ Solusi

1. Verifikasi Kecocokan CRT dan KEY

Jalankan sebagai root atau user biasa (tidak perlu user zimbra):

# hitung hash dari CRT
openssl x509 -noout -modulus -in poltekesos.crt | openssl md5

# hitung hash dari KEY
openssl rsa -noout -modulus -in poltekesos.key | openssl md5

Jika hasil hash berbeda, maka memang crt dan key tidak cocok. Artinya kamu harus cari private key yang cocok atau request ulang SSL dari CA menggunakan key baru.

2. Kalau cocok, salin key ke lokasi Zimbra

Jika hasil hash sama (berarti cocok), kamu bisa:

cp poltekesos.key /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key
chmod 640 /opt/zimbra/ssl/zimbra/commercial/commercial.key

Lalu jalankan ulang:

su - zimbra
cd /tmp/ssl_renewal
zmcertmgr verifycrt comm poltekesos.key poltekesos.crt poltekesos.crt
zmcertmgr deploycrt comm poltekesos.crt poltekesos.crt
zmcontrol restart

3. ⚠️ Kalau Tidak Cocok, Opsi yang Tersedia:

  • Cari file private key lama yang digunakan saat generate CSR dulu. Mungkin masih tersimpan di /opt/zimbra/ssl/zimbra/commercial/ atau folder backup.

  • Request ulang SSL dari CA menggunakan private key baru:

    openssl genrsa -out new.key 2048
openssl req -new -key new.key -out new.csr

    Kemudian kirim new.csr ke CA dan dapatkan sertifikat barunya yang cocok dengan new.key.

📌 Catatan Tambahan

Jika kamu ingin, saya bisa bantu cek isi file poltekesos.crt dan poltekesos.key (tanpa harus memperlihatkan data sensitif), cukup kirim hash modulus-nya dan saya bantu cocokan.

openssl x509 -noout -modulus -in poltekesos.crt | openssl md5
openssl rsa -noout -modulus -in poltekesos.key | openssl md5

Ingin saya bantu buatkan script pengecekan dan pengganti key otomatis jika cocok?

Back to top