Pour que Zimbra présente un certificat par domaine sur l'interface Web, on peut soit générer un certificat, soit demander un certificat auprès d'un autorité.

Concaténer le certificat avec la chaîne de certification : cat mail.domaine.pem mail.domaine-chain.pem > mail.domaine-cumul.pem

Sur Zimbra, en tant que zimbra :
/opt/zimbra/libexec/zmdomaincertmgr savecrt <domaine> mail.domaine-cumul.pem mail.domaine.key

/opt/zimbra/libexec/zmdomaincertmgr deploycrts
zmconfigdctl reload
zmproxyctl restart

Rappel : il ne faut PAS utiliser de certificat avec un wildcard, sinon de gros plantages Zimbra sont probables
Rappel : il est possible de mettre beaucoup de noms alternatifs dans les certificats. Cela évite l'utilisation de SNI qui ne fonctionne pas pour IMAPS et POPS.

Info : Si la mise à jour de certificat ne fonctionne pas (NGinx fournit toujours les anciens), supprimer les fichiers par rm /opt/zimbra/conf/domaincerts/* et relancer la procédure à partir de /opt/zimbra/libexec/zmdomaincertmgr deploycrts