À u principiu di u 21u seculu, una risorsa cum'è l'indirizzi IPv4 hè in u puntu di esaurimentu. Torna in 2011, l'IANA hà attribuitu l'ultimi cinque blocchi restanti / 8 di u so spaziu d'indirizzu à i registratori di l'Internet regiunale, è digià in 2017 ùn anu micca indirizzi. A risposta à a catastròfica carenza di l'indirizzi IPv4 ùn era micca solu l'emergenza di u protokollu IPv6, ma ancu a tecnulugia SNI, chì hà permessu di accoglie un gran numaru di siti web in una sola indirizzu IPv4. L'essenza di SNI hè chì sta estensione permette à i clienti, durante u prucessu di handshake, di dì à u servitore u nome di u situ cù quale vole cunnette. Questu permette à u servitore per almacenà parechji certificati, chì significa chì parechji domini ponu operare in un indirizzu IP. A tecnulugia SNI hè diventata soprattuttu populari trà i fornituri SaaS di l'affari, chì anu l'uppurtunità di accoglie un numeru quasi illimitatu di domini senza riguardu à u numeru di indirizzi IPv4 necessariu per questu. Scupritemu cumu pudete implementà u supportu SNI in Zimbra Collaboration Suite Open-Source Edition.
SNI funziona in tutte e versioni attuali è supportate di Zimbra OSE. Se avete Zimbra Open-Source in esecuzione in una infrastruttura multi-servitore, avete bisognu di fà tutti i passi sottu in un node cù u servitore Zimbra Proxy installatu. In più, avarete bisognu di certificatu + coppie di chjave currispondenti, è ancu catene di certificati di fiducia da a vostra CA per ognunu di i domini chì vulete allughjà in u vostru indirizzu IPv4. Per piacè nutate chì a causa di a maiò parte di l'errori quandu si stallanu SNI in Zimbra OSE hè precisamente i fugliali sbagliati cù certificati. Dunque, vi cunsigliemu di verificà cù cura tuttu prima di stallà direttamente.
Prima di tuttu, per SNI per travaglià nurmale, avete bisognu di entre in u cumandamentu zmprov mcf zimbraReverseProxySNIEnabled TRUE nantu à u node proxy Zimbra, è dopu riavvia u serviziu Proxy cù u cumandimu zmproxyctl riavvia.
Avemu da principià per creà un nome di duminiu. Per esempiu, avemu da piglià u duminiu cumpagnia.ru è, dopu chì u duminiu hè statu creatu, decideremu nantu à u nome di l'ospite virtuale Zimbra è l'indirizzu IP virtuale. Per piacè nutate chì u nome di l'ospitu virtuale di Zimbra deve currisponde à u nome chì l'utilizatore deve inserisce in u navigatore per accede à u duminiu, è ancu currisponde à u nome specificatu in u certificatu. Per esempiu, pigghiamu Zimbra cum'è u nome d'ospite virtuale mail.company.ru, è cum'è un indirizzu IPv4 virtuale usemu l'indirizzu 1.2.3.4.
Dopu à questu, ghjustu entre u cumandamentu zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4per ligà l'ospite virtuale Zimbra à un indirizzu IP virtuale. Per piacè nutate chì, se u servitore hè situatu daretu à un NAT o firewall, deve assicurà chì tutte e dumande à u duminiu vanu à l'indirizzu IP esternu assuciatu cù questu, è micca à u so indirizzu in a reta lucale.
Dopu tuttu hè fattu, tuttu ciò chì resta hè di verificà è preparà i certificati di duminiu per a stallazione, è poi stallà.
Se l'emissione di un certificatu di duminiu hè stata cumpletata currettamente, duvete avè trè schedari cù certificati: dui di elli sò catene di certificati da a vostra autorità di certificazione, è unu hè un certificatu direttu per u duminiu. Inoltre, duvete avè un schedariu cù a chjave chì avete utilizatu per ottene u certificatu. Crea un cartulare separatu /tmp/company.ru è mette tutti i fugliali dispunibili cù chjavi è certificati quì. U risultatu finale deve esse qualcosa cum'è questu:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDopu questu, combineremu e catene di certificati in un schedariu cù u cumandimu cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt è assicuratevi chì tuttu hè in ordine cù i certificati cù u cumandimu /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Dopu à a verificazione di i certificati è a chjave hè successu, pudete inizià a stallà.
Per principià a stallazione, prima cumbineremu u certificatu di duminiu è e catene di fiducia da l'autorità di certificazione in un schedariu. Questu pò ancu esse fattu cù un cumandamentu cum'è cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Dopu questu, avete bisognu di eseguisce u cumandamentu per scrive tutti i certificati è a chjave per LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyè poi stallà i certificati cù u cumandimu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Dopu a stallazione, i certificati è a chjave per u duminiu company.ru seranu guardati in u cartulare /opt/zimbra/conf/domaincerts/company.ru.
Ripitendu sti passi utilizendu nomi di duminiu diffirenti ma u listessu indirizzu IP, hè pussibule ospitu parechji centu domini in un solu indirizzu IPv4. In questu casu, pudete aduprà certificati da una varietà di centri emittenti senza prublemi. Pudete cuntrollà a correttezza di tutte l'azzioni realizati in ogni navigatore, induve ogni nome d'ospite virtuale deve vede u so propiu certificatu SSL.
Per tutte e dumande riguardanti Zextras Suite, pudete cuntattà u Rappresentante di Zextras Ekaterina Triandafilidi per e-mail [email prutettu]
Source: www.habr.com