Početkom 21. veka, resurs kao što su IPv4 adrese je na ivici iscrpljivanja. Još 2011. IANA je dodijelila posljednjih pet preostalih /8 blokova svog adresnog prostora regionalnim internet registratorima, a već 2017. im je ponestalo adresa. Odgovor na katastrofalni nedostatak IPv4 adresa nije bila samo pojava IPv6 protokola, već i SNI tehnologije, koja je omogućila hostovanje ogromnog broja web stranica na jednoj IPv4 adresi. Suština SNI-a je da ova ekstenzija omogućava klijentima, tokom procesa rukovanja, da kažu serveru ime lokacije sa kojom želi da se poveže. Ovo omogućava serveru da pohrani više certifikata, što znači da više domena može raditi na jednoj IP adresi. SNI tehnologija je postala posebno popularna među poslovnim SaaS provajderima, koji imaju priliku da hostuju gotovo neograničen broj domena bez obzira na broj IPv4 adresa potrebnih za to. Hajde da saznamo kako možete implementirati SNI podršku u Zimbra Collaboration Suite Open-Source Edition.
SNI radi u svim trenutnim i podržanim verzijama Zimbra OSE. Ako imate Zimbra Open-Source koji radi na infrastrukturi sa više servera, moraćete da izvršite sve dole navedene korake na čvoru sa instaliranim Zimbra proxy serverom. Osim toga, trebat će vam odgovarajući parovi certifikat+ključ, kao i pouzdani lanci certifikata od vašeg CA za svaku od domena koje želite hostirati na svojoj IPv4 adresi. Imajte na umu da su uzrok velike većine grešaka pri postavljanju SNI u Zimbra OSE upravo netačne datoteke sa certifikatima. Stoga vam savjetujemo da sve pažljivo provjerite prije nego što ih direktno instalirate.
Prije svega, da bi SNI normalno radio, morate unijeti naredbu zmprov mcf zimbraReverseProxySNIEnabled TRUE na Zimbra proxy čvoru, a zatim ponovo pokrenite proxy uslugu pomoću naredbe zmproxyctl restart.
Počećemo kreiranjem naziva domene. Na primjer, uzet ćemo domenu company.ru a nakon što je domen već kreiran, odlučit ćemo se za Zimbra virtualni host naziv i virtuelnu IP adresu. Imajte na umu da Zimbra virtuelno ime hosta mora odgovarati imenu koje korisnik mora uneti u pretraživač da bi pristupio domeni, kao i da se podudara sa imenom navedenim u sertifikatu. Na primjer, uzmimo Zimbru kao naziv virtualnog hosta mail.company.ru, a kao virtuelnu IPv4 adresu koristimo adresu 1.2.3.4.
Nakon ovoga samo unesite naredbu zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4da povežete Zimbra virtuelni host sa virtuelnom IP adresom. Imajte na umu da ako se server nalazi iza NAT-a ili firewall-a, morate osigurati da svi zahtjevi prema domeni idu na vanjsku IP adresu koja je s njim povezana, a ne na njegovu adresu na lokalnoj mreži.
Nakon što je sve urađeno, ostaje samo provjeriti i pripremiti certifikate domene za instalaciju, a zatim ih instalirati.
Ako je izdavanje certifikata za domenu obavljeno ispravno, trebali biste imati tri datoteke sa certifikatima: dva od njih su lanci certifikata vašeg certifikacijskog tijela, a jedan je direktni certifikat za domen. Osim toga, morate imati datoteku s ključem koji ste koristili za dobivanje certifikata. Kreirajte poseban folder /tmp/company.ru i tamo smjestite sve postojeće datoteke s ključevima i certifikatima. Krajnji rezultat bi trebao biti otprilike ovako:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtNakon toga ćemo kombinirati lance certifikata u jednu datoteku koristeći naredbu mačka company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt i uvjerite se da je sve u redu sa certifikatima koristeći naredbu /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nakon što je provjera certifikata i ključa uspješna, možete započeti njihovu instalaciju.
Da bismo započeli instalaciju, prvo ćemo kombinovati certifikat domene i pouzdane lance certifikacijskih tijela u jednu datoteku. Ovo se takođe može uraditi pomoću jedne naredbe kao što je mačka company.ru.crt company.ru_ca.crt >> company.ru.bundle. Nakon ovoga, potrebno je pokrenuti naredbu kako biste upisali sve certifikate i ključ u LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keya zatim instalirajte certifikate koristeći naredbu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Nakon instalacije, certifikati i ključ domene company.ru bit će pohranjeni u folderu /opt/zimbra/conf/domaincerts/company.ru.
Ponavljanjem ovih koraka koristeći različite nazive domena, ali istu IP adresu, moguće je ugostiti nekoliko stotina domena na jednoj IPv4 adresi. U tom slučaju možete bez problema koristiti certifikate iz raznih centara za izdavanje. Možete provjeriti ispravnost svih radnji koje se izvode u bilo kojem pretraživaču, gdje svako virtualno ime hosta treba da prikazuje svoj vlastiti SSL certifikat.
Za sva pitanja vezana za Zextras Suite, možete kontaktirati predstavnicu Zextras Ekaterinu Triandafilidi putem e-maila [email zaštićen]
izvor: www.habr.com