A principis del segle XXI, un recurs com les adreces IPv21 està a punt d'esgotar-se. L'any 4, IANA va assignar els últims cinc blocs /2011 restants del seu espai d'adreces als registradors regionals d'Internet, i ja el 8 es van quedar sense adreces. La resposta a la catastròfica escassetat d'adreces IPv2017 no va ser només l'aparició del protocol IPv4, sinó també la tecnologia SNI, que va permetre allotjar un gran nombre de llocs web en una única adreça IPv6. L'essència de SNI és que aquesta extensió permet als clients, durant el procés d'encaixada, dir al servidor el nom del lloc amb el qual es vol connectar. Això permet que el servidor emmagatzemi diversos certificats, el que significa que diversos dominis poden funcionar amb una adreça IP. La tecnologia SNI s'ha tornat especialment popular entre els proveïdors de SaaS empresarials, que tenen l'oportunitat d'allotjar un nombre gairebé il·limitat de dominis sense tenir en compte el nombre d'adreces IPv4 necessàries per a això. Descobrim com podeu implementar el suport SNI a Zimbra Collaboration Suite Open-Source Edition.
SNI funciona en totes les versions actuals i compatibles de Zimbra OSE. Si teniu Zimbra Open-Source en execució en una infraestructura multiservidor, haureu de realitzar tots els passos següents en un node amb el servidor intermediari Zimbra instal·lat. A més, necessitareu parells de clau i certificat coincidents, així com cadenes de certificats de confiança de la vostra CA per a cadascun dels dominis que voleu allotjar a la vostra adreça IPv4. Tingueu en compte que la causa de la gran majoria dels errors en configurar SNI a Zimbra OSE són precisament fitxers incorrectes amb certificats. Per tant, us aconsellem que ho comproveu tot detingudament abans d'instal·lar-los directament.
En primer lloc, perquè SNI funcioni amb normalitat, cal que introduïu l'ordre zmprov mcf zimbraReverseProxySNIEnabled TRUE al node intermediari de Zimbra i, a continuació, reinicieu el servei intermediari mitjançant l'ordre reiniciar zmproxyctl.
Començarem creant un nom de domini. Per exemple, agafarem el domini company.ru i, després que el domini ja s'hagi creat, decidirem el nom d'amfitrió virtual de Zimbra i l'adreça IP virtual. Tingueu en compte que el nom d'amfitrió virtual de Zimbra ha de coincidir amb el nom que l'usuari ha d'introduir al navegador per accedir al domini, i també ha de coincidir amb el nom especificat al certificat. Per exemple, prenem Zimbra com a nom d'amfitrió virtual mail.company.ru, i com a adreça IPv4 virtual fem servir l'adreça 1.2.3.4.
Després d'això, només cal que introduïu l'ordre zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4per vincular l'amfitrió virtual de Zimbra a una adreça IP virtual. Tingueu en compte que si el servidor es troba darrere d'un NAT o tallafoc, heu d'assegurar-vos que totes les sol·licituds al domini van a l'adreça IP externa associada a aquest, i no a la seva adreça a la xarxa local.
Un cop fet tot, només queda comprovar i preparar els certificats de domini per a la instal·lació, i després instal·lar-los.
Si l'emissió d'un certificat de domini s'ha completat correctament, hauríeu de tenir tres fitxers amb certificats: dos d'ells són cadenes de certificats de la vostra autoritat de certificació i un és un certificat directe per al domini. A més, heu de tenir un fitxer amb la clau que heu utilitzat per obtenir el certificat. Creeu una carpeta separada /tmp/company.ru i col·loqueu-hi tots els fitxers existents amb claus i certificats. El resultat final hauria de ser una cosa així:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDesprés d'això, combinarem les cadenes de certificats en un sol fitxer mitjançant l'ordre cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt i assegureu-vos que tot estigui en ordre amb els certificats mitjançant l'ordre /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Després de verificar correctament els certificats i la clau, podeu començar a instal·lar-los.
Per començar la instal·lació, primer combinarem el certificat de domini i les cadenes de confiança de les autoritats de certificació en un sol fitxer. Això també es pot fer amb una comanda com ara cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Després d'això, heu d'executar l'ordre per escriure tots els certificats i la clau a LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyi després instal·leu els certificats mitjançant l'ordre /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Després de la instal·lació, els certificats i la clau del domini company.ru s'emmagatzemaran a la carpeta /opt/zimbra/conf/domaincerts/company.ru.
En repetir aquests passos utilitzant diferents noms de domini però la mateixa adreça IP, és possible allotjar diversos centenars de dominis en una única adreça IPv4. En aquest cas, podeu utilitzar certificats de diversos centres emissors sense cap problema. Podeu comprovar la correcció de totes les accions realitzades en qualsevol navegador, on cada nom d'amfitrió virtual hauria de mostrar el seu propi certificat SSL.
Per a totes les preguntes relacionades amb Zextras Suite, podeu contactar amb la representant de Zextras Ekaterina Triandafilidi per correu electrònic [protegit per correu electrònic]
Font: www.habr.com