Aan die begin van die 21ste eeu is 'n hulpbron soos IPv4-adresse op die rand van uitputting. Terug in 2011 het IANA die laaste vyf oorblywende /8 blokke van sy adresruimte aan streeksinternetregistrateurs toegewys, en reeds in 2017 het hulle adresse opgeraak. Die antwoord op die katastrofiese tekort aan IPv4-adresse was nie net die ontstaan van die IPv6-protokol nie, maar ook die SNI-tegnologie, wat dit moontlik gemaak het om 'n groot aantal webwerwe op 'n enkele IPv4-adres te huisves. Die essensie van SNI is dat hierdie uitbreiding kliënte in staat stel om tydens die handdrukproses die bediener die naam van die webwerf waarmee hy wil koppel, te vertel. Dit laat die bediener toe om veelvuldige sertifikate te stoor, wat beteken dat verskeie domeine op een IP-adres kan werk. SNI-tegnologie het veral gewild geword onder sake-SaaS-verskaffers, wat die geleentheid het om 'n byna onbeperkte aantal domeine te huisves sonder inagneming van die aantal IPv4-adresse wat hiervoor benodig word. Kom ons vind uit hoe jy SNI-ondersteuning in Zimbra Collaboration Suite Open-Source Edition kan implementeer.
SNI werk in alle huidige en ondersteunde weergawes van Zimbra OSE. As jy Zimbra Open-Source op 'n multi-bediener-infrastruktuur het, sal jy al die stappe hieronder moet uitvoer op 'n nodus met die Zimbra Proxy-bediener geïnstalleer. Boonop benodig u bypassende sertifikaat+sleutelpare, sowel as betroubare sertifikaatkettings van u CA vir elk van die domeine wat u op u IPv4-adres wil huisves. Neem asseblief kennis dat die oorsaak van die oorgrote meerderheid foute wanneer SNI in Zimbra OSE opgestel word, presies verkeerde lêers met sertifikate is. Daarom raai ons u aan om alles noukeurig na te gaan voordat u dit direk installeer.
Eerstens, om SNI normaal te laat werk, moet jy die opdrag invoer zmprov mcf zimbraReverseProxySNIEEnabled TRUE op die Zimbra-instaanbediener node, en herbegin dan die Proxy-diens met behulp van die opdrag zmproxyctl herbegin.
Ons sal begin deur 'n domeinnaam te skep. Byvoorbeeld, ons sal die domein neem company.ru en, nadat die domein reeds geskep is, sal ons besluit oor die Zimbra virtuele gasheernaam en virtuele IP-adres. Neem asseblief kennis dat die Zimbra virtuele gasheernaam moet ooreenstem met die naam wat die gebruiker in die blaaier moet invoer om toegang tot die domein te verkry, en ook ooreenstem met die naam gespesifiseer in die sertifikaat. Kom ons neem byvoorbeeld Zimbra as die virtuele gasheernaam mail.company.ru, en as 'n virtuele IPv4-adres gebruik ons die adres 1.2.3.4.
Hierna, voer net die opdrag in zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4om die Zimbra virtuele gasheer aan 'n virtuele IP-adres te bind. Neem asseblief kennis dat indien die bediener agter 'n NAT of firewall geleë is, jy moet verseker dat alle versoeke na die domein gaan na die eksterne IP-adres wat daarmee geassosieer word, en nie na sy adres op die plaaslike netwerk nie.
Nadat alles gedoen is, is al wat oorbly om die domeinsertifikate na te gaan en voor te berei vir installasie, en dan te installeer.
As die uitreiking van 'n domeinsertifikaat korrek voltooi is, behoort jy drie lêers met sertifikate te hê: twee van hulle is kettings van sertifikate van jou sertifiseringsowerheid, en een is 'n direkte sertifikaat vir die domein. Daarbenewens moet jy 'n lêer hê met die sleutel wat jy gebruik het om die sertifikaat te bekom. Skep 'n aparte gids /tmp/company.ru en plaas alle bestaande lêers met sleutels en sertifikate daar. Die eindresultaat moet iets soos volg wees:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtHierna sal ons die sertifikaatkettings in een lêer kombineer deur die opdrag te gebruik cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt en maak seker dat alles in orde is met die sertifikate deur die opdrag te gebruik /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nadat die verifikasie van die sertifikate en sleutel suksesvol is, kan u dit begin installeer.
Om die installasie te begin, sal ons eers die domeinsertifikaat en betroubare kettings van sertifiseringsowerhede in een lêer kombineer. Dit kan ook gedoen word deur een opdrag soos cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Hierna moet u die opdrag uitvoer om al die sertifikate en die sleutel na LDAP te skryf: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyen installeer dan die sertifikate met behulp van die opdrag /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Na die installasie sal die sertifikate en die sleutel tot die company.ru-domein in die gids gestoor word /opt/zimbra/conf/domaincerts/company.ru.
Deur hierdie stappe te herhaal deur verskillende domeinname maar dieselfde IP-adres te gebruik, is dit moontlik om 'n paar honderd domeine op 'n enkele IPv4-adres te huisves. In hierdie geval kan u sertifikate van 'n verskeidenheid uitreikingsentrums sonder enige probleme gebruik. U kan die korrektheid van alle aksies wat in enige blaaier uitgevoer word, nagaan, waar elke virtuele gasheernaam sy eie SSL-sertifikaat moet vertoon.
Vir alle vrae wat verband hou met Zextras Suite, kan jy die verteenwoordiger van Zextras Ekaterina Triandafilidi per e-pos kontak [e-pos beskerm]
Bron: will.com