Na počátku 21. století je zdroj, jakým jsou IPv4 adresy, na pokraji vyčerpání. Ještě v roce 2011 IANA přidělila posledních pět zbývajících /8 bloků svého adresního prostoru regionálním internetovým registrátorům a již v roce 2017 jim došly adresy. Odpovědí na katastrofální nedostatek IPv4 adres byl nejen vznik protokolu IPv6, ale také technologie SNI, která umožnila hostovat obrovské množství webových stránek na jediné IPv4 adrese. Podstatou SNI je, že toto rozšíření umožňuje klientům během procesu handshake sdělit serveru název webu, ke kterému se chce připojit. To umožňuje serveru ukládat více certifikátů, což znamená, že na jedné IP adrese může fungovat více domén. Technologie SNI se stala oblíbenou zejména mezi podnikovými poskytovateli SaaS, kteří mají možnost hostovat téměř neomezený počet domén bez ohledu na počet IPv4 adres potřebných k tomu. Pojďme zjistit, jak můžete implementovat podporu SNI v Zimbra Collaboration Suite Open-Source Edition.
SNI funguje ve všech aktuálních a podporovaných verzích Zimbra OSE. Pokud máte Zimbra Open-Source spuštěnou na multiserverové infrastruktuře, budete muset provést všechny níže uvedené kroky na uzlu s nainstalovaným Zimbra Proxy serverem. Kromě toho budete potřebovat odpovídající páry certifikát+klíč a také důvěryhodné řetězce certifikátů od vaší CA pro každou z domén, které chcete hostovat na vaší IPv4 adrese. Upozorňujeme, že příčinou naprosté většiny chyb při nastavování SNI v Zimbra OSE jsou právě nesprávné soubory s certifikáty. Před jejich přímou instalací vám proto doporučujeme vše pečlivě zkontrolovat.
Za prvé, aby SNI fungoval normálně, musíte zadat příkaz zmprov mcf zimbraReverseProxySNIEpovoleno PRAVDA na uzlu proxy Zimbra a poté restartujte službu Proxy pomocí příkazu restart zmproxyctl.
Začneme vytvořením názvu domény. Například vezmeme doménu company.ru a poté, co již byla doména vytvořena, rozhodneme o názvu virtuálního hostitele Zimbra a virtuální IP adrese. Vezměte prosím na vědomí, že název virtuálního hostitele Zimbra se musí shodovat se jménem, které musí uživatel zadat do prohlížeče pro přístup k doméně, a také se musí shodovat se jménem uvedeným v certifikátu. Vezměme například Zimbra jako název virtuálního hostitele mail.company.rua jako virtuální IPv4 adresu používáme adresu 1.2.3.4.
Poté stačí zadat příkaz zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4pro připojení virtuálního hostitele Zimbra k virtuální IP adrese. Upozorňujeme, že pokud je server umístěn za NAT nebo firewallem, musíte zajistit, aby všechny požadavky na doménu směřovaly na externí IP adresu, která je s ní spojena, a nikoli na její adresu v místní síti.
Poté, co je vše hotovo, zbývá pouze zkontrolovat a připravit certifikáty domény k instalaci a poté je nainstalovat.
Pokud bylo vydání doménového certifikátu dokončeno správně, měli byste mít tři soubory s certifikáty: dva z nich jsou řetězce certifikátů od vaší certifikační autority a jeden je přímý certifikát pro doménu. Kromě toho musíte mít soubor s klíčem, který jste použili k získání certifikátu. Vytvořte samostatnou složku /tmp/company.ru a umístěte tam všechny dostupné soubory s klíči a certifikáty. Konečný výsledek by měl být něco takového:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPoté pomocí příkazu spojíme řetězce certifikátů do jednoho souboru cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt a pomocí příkazu se ujistěte, že je vše v pořádku s certifikáty /opt/zimbra/bin/zmcertmgrovercrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Po úspěšném ověření certifikátů a klíče můžete začít s jejich instalací.
Abychom mohli začít s instalací, nejprve zkombinujeme certifikát domény a důvěryhodné řetězce od certifikačních autorit do jednoho souboru. To lze také provést pomocí jednoho příkazu jako cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Poté musíte spustit příkaz, abyste mohli zapsat všechny certifikáty a klíč do LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keya poté nainstalujte certifikáty pomocí příkazu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Po instalaci budou certifikáty a klíč k doméně company.ru uloženy ve složce /opt/zimbra/conf/domaincerts/company.ru.
Opakováním těchto kroků s použitím různých názvů domén, ale stejné adresy IP, je možné hostovat několik stovek domén na jedné adrese IPv4. V tomto případě můžete bez problémů použít certifikáty z různých výdejních středisek. Správnost všech provedených akcí můžete zkontrolovat v libovolném prohlížeči, kde by každý název virtuálního hostitele měl zobrazovat svůj vlastní SSL certifikát.
Se všemi dotazy týkajícími se Zextras Suite můžete kontaktovat zástupkyni Zextras Ekaterinu Triandafilidi e-mailem [chráněno e-mailem]
Zdroj: www.habr.com