في بداية القرن الحادي والعشرين ، كان مورد مثل عناوين IPv21 على وشك النضوب. في عام 4 ، خصصت IANA آخر خمس مجموعات / 2011 مجموعات متبقية من مساحة العنوان الخاصة بها إلى مسجلي الإنترنت الإقليميين ، وفي عام 8 ، نفد أيضًا عناوينهم. لم يكن الرد على النقص الكارثي في عناوين IPv2017 مجرد ظهور بروتوكول IPv4 ، ولكن أيضًا تقنية SNI ، التي جعلت من الممكن استضافة عدد كبير من مواقع الويب على عنوان IPv6 واحد. يتمثل جوهر SNI في أن هذا الامتداد يسمح للعملاء بإخبار الخادم باسم الموقع الذي يريد الاتصال به أثناء عملية المصافحة. يسمح هذا للخادم بتخزين شهادات متعددة ، مما يعني أن مجالات متعددة يمكن أن تعمل على نفس عنوان IP. أصبحت تقنية SNI مطلوبة بشكل خاص بين مزودي SaaS للشركات ، والتي لديها الفرصة لاستضافة عدد غير محدود تقريبًا من المجالات بغض النظر عن عدد عناوين IPv4 المطلوبة لهذا الغرض. دعنا نتعرف على كيفية تنفيذ دعم SNI في Zimbra Collaboration Suite Open-Source Edition.
يعمل SNI في جميع الإصدارات الحالية والمدعومة من Zimbra OSE. في حالة تشغيل Zimbra Open-Source على بنية تحتية متعددة الخوادم ، فستحتاج إلى تنفيذ جميع الخطوات التالية على العقدة مع تثبيت Zimbra Proxy. بالإضافة إلى ذلك ، ستحتاج إلى مطابقة أزواج الشهادة + المفاتيح بالإضافة إلى سلاسل الشهادات الموثوقة من المرجع المصدق الخاص بك لكل مجال من المجالات التي تريد استضافتها على عنوان IPv4 الخاص بك. يرجى ملاحظة أن سبب الغالبية العظمى من الأخطاء عند تكوين SNI في Zimbra OSE يكمن بالضبط في الملفات غير الصحيحة ذات الشهادات. لذلك ننصحك بفحص كل شيء بعناية قبل تثبيتها مباشرة.
بادئ ذي بدء ، لكي يعمل SNI بشكل طبيعي ، تحتاج إلى إدخال الأمر zmprov mcf zimbraReverseProxySNIEnabled TRUE على العقدة مع الخادم الوكيل Zimbra ، ثم أعد تشغيل خدمة الوكيل باستخدام الأمر إعادة تشغيل zmproxyctl.
سنبدأ بإنشاء اسم المجال. على سبيل المثال ، سوف نأخذ المجال Company.ru وبعد إنشاء المجال بالفعل ، دعنا نقرر اسم مضيف Zimbra الافتراضي وعنوان IP الظاهري. يرجى ملاحظة أن اسم مضيف Zimbra الظاهري يجب أن يتطابق مع الاسم الذي يجب على المستخدم إدخاله في سطر المتصفح للوصول إلى المجال ، وكذلك تطابق الاسم المحدد في الشهادة. على سبيل المثال ، لنأخذ Zimbra كاسم مضيف افتراضي mail.company.ru، وكعنوان IPv4 افتراضي ، نستخدم العنوان 1.2.3.4.
بعد ذلك ، فقط أدخل الأمر zmprov md Company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4لربط مضيف Zimbra الظاهري بعنوان IP افتراضي. يرجى ملاحظة أنه إذا كان الخادم خلف NAT أو جدار ناري ، فأنت بحاجة إلى التأكد من أن جميع الطلبات إلى المجال تذهب بالضبط إلى عنوان IP الخارجي المرتبط به ، وليس إلى عنوانه على الشبكة المحلية.
بعد الانتهاء من كل شيء ، كل ما تبقى هو التحقق من شهادات المجال وإعدادها للتثبيت ، ثم تثبيتها.
إذا سارت عملية إصدار الشهادة الخاصة بالمجال بشكل جيد ، فيجب أن يكون لديك ثلاثة ملفات بشهادات في متناول اليد: اثنان منها عبارة عن سلاسل شهادات من المرجع المصدق الخاص بك ، والأخرى عبارة عن شهادة مباشرة للمجال. بالإضافة إلى ذلك ، يجب أن يكون لديك الملف بالمفتاح الذي استخدمته للحصول على الشهادة في متناول اليد. قم بإنشاء مجلد منفصل /tmp/company.ru ونضع هناك جميع الملفات المتاحة بالمفاتيح والشهادات. يجب أن تكون النتيجة النهائية مثل هذا:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtبعد ذلك ، سنجمع سلاسل الشهادات في ملف واحد باستخدام الأمر cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt وتأكد من أن كل شيء بالترتيب مع الشهادات باستخدام الأمر / opt / zimbra / bin / zmcertmgr Vercrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. بعد نجاح التحقق من الشهادات والمفتاح ، يمكنك المتابعة لتثبيتها.
لبدء التثبيت ، نقوم أولاً بدمج شهادة المجال والسلاسل الموثوقة من المراجع المصدقة في ملف واحد. يتم ذلك أيضًا بأمر واحد للنموذج cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. بعد ذلك ، تحتاج إلى تشغيل الأمر لكتابة جميع الشهادات والمفتاح إلى LDAP: / opt / zimbra / libexec / zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyثم قم بتثبيت الشهادات باستخدام الأمر / opt / zimbra / libexec / zmdomaincertmgr النشر. بعد التثبيت ، سيتم تخزين الشهادات والمفتاح من مجال company.ru في المجلد /opt/zimbra/conf/domaincerts/company.ru.
بتكرار هذه الخطوات باستخدام أسماء نطاقات مختلفة ولكن نفس عنوان IP ، يمكن استضافة عدة مئات من المجالات على عنوان IPv4 واحد. في نفس الوقت ، يمكنك استخدام الشهادات من مجموعة متنوعة من مراكز إصدار الشهادات دون أي مشاكل. يمكنك التحقق من صحة جميع الخطوات المتخذة في أي متصفح ، حيث يجب أن يعرض كل اسم مضيف افتراضي شهادة SSL الخاصة به.
لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل Zextras Ekaterina Triandafilidi عن طريق البريد الإلكتروني [البريد الإلكتروني محمي]
المصدر: www.habr.com