Ar ddechrau'r 21ain ganrif, mae adnodd fel cyfeiriadau IPv4 ar fin lludded. Yn ôl yn 2011, dyrannodd IANA y pum bloc /8 olaf sy'n weddill o'i ofod cyfeiriad i gofrestryddion Rhyngrwyd rhanbarthol, ac eisoes yn 2017 rhedwyd allan o gyfeiriadau. Yr ateb i'r prinder trychinebus o gyfeiriadau IPv4 oedd nid yn unig ymddangosiad y protocol IPv6, ond hefyd y dechnoleg SNI, a oedd yn ei gwneud hi'n bosibl cynnal nifer enfawr o wefannau ar un cyfeiriad IPv4. Hanfod SNI yw bod yr estyniad hwn yn caniatáu i gleientiaid, yn ystod y broses ysgwyd llaw, ddweud wrth y gweinydd enw'r safle y mae am gysylltu ag ef. Mae hyn yn caniatáu i'r gweinydd storio tystysgrifau lluosog, sy'n golygu y gall parthau lluosog weithredu ar un cyfeiriad IP. Mae technoleg SNI wedi dod yn arbennig o boblogaidd ymhlith darparwyr busnes SaaS, sy'n cael y cyfle i gynnal nifer diderfyn bron o barthau heb ystyried nifer y cyfeiriadau IPv4 sydd eu hangen ar gyfer hyn. Dewch i ni ddarganfod sut y gallwch chi roi cymorth SNI ar waith yn Zimbra Collaboration Suite Open-Source Edition.
Mae SNI yn gweithio ym mhob fersiwn gyfredol a chefnogol o Zimbra OSE. Os oes gennych chi Zimbra Open-Source yn rhedeg ar seilwaith aml-weinydd, bydd angen i chi berfformio'r holl gamau isod ar nod gyda gweinydd Zimbra Proxy wedi'i osod. Yn ogystal, bydd angen tystysgrif baru + parau allweddol arnoch, yn ogystal â chadwyni tystysgrif dibynadwy o'ch CA ar gyfer pob un o'r parthau rydych chi am eu cynnal ar eich cyfeiriad IPv4. Sylwch mai achos y mwyafrif helaeth o wallau wrth sefydlu SNI yn Zimbra OSE yw ffeiliau union anghywir gyda thystysgrifau. Felly, rydym yn eich cynghori i wirio popeth yn ofalus cyn eu gosod yn uniongyrchol.
Yn gyntaf oll, er mwyn i SNI weithio fel arfer, mae angen i chi nodi'r gorchymyn zmprov mcf zimbraReverseProxySNIEnabled GWIR ar y nod dirprwy Zimbra, ac yna ailgychwyn y gwasanaeth Dirprwy gan ddefnyddio'r gorchymyn ailgychwyn zmproxyctl.
Byddwn yn dechrau trwy greu enw parth. Er enghraifft, byddwn yn cymryd y parth cwmni.ru ac, ar ôl i'r parth gael ei greu eisoes, byddwn yn penderfynu ar enw gwesteiwr rhithwir Zimbra a chyfeiriad IP rhithwir. Sylwch fod yn rhaid i'r enw gwesteiwr rhithwir Zimbra gyd-fynd â'r enw y mae'n rhaid i'r defnyddiwr ei nodi yn y porwr i gael mynediad i'r parth, a hefyd yn cyfateb i'r enw a nodir yn y dystysgrif. Er enghraifft, gadewch i ni gymryd Zimbra fel yr enw gwesteiwr rhithwir mail.cwmni.ru, ac fel cyfeiriad IPv4 rhithwir rydym yn defnyddio'r cyfeiriad 1.2.3.4.
Ar ôl hyn, rhowch y gorchymyn zmprov md cwmni.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4i rwymo gwesteiwr rhithwir Zimbra i gyfeiriad IP rhithwir. Sylwch, os yw'r gweinydd wedi'i leoli y tu ôl i NAT neu wal dân, rhaid i chi sicrhau bod pob cais i'r parth yn mynd i'r cyfeiriad IP allanol sy'n gysylltiedig ag ef, ac nid i'w gyfeiriad ar y rhwydwaith lleol.
Ar ôl i bopeth gael ei wneud, y cyfan sydd ar ôl yw gwirio a pharatoi'r tystysgrifau parth i'w gosod, ac yna eu gosod.
Os cwblhawyd cyhoeddi tystysgrif parth yn gywir, dylai fod gennych dair ffeil gyda thystysgrifau: mae dwy ohonynt yn gadwyni o dystysgrifau gan eich awdurdod ardystio, ac mae un yn dystysgrif uniongyrchol ar gyfer y parth. Yn ogystal, rhaid bod gennych ffeil gyda'r allwedd a ddefnyddiwyd gennych i gael y dystysgrif. Creu ffolder ar wahân /tmp/company.ru a gosodwch yr holl ffeiliau sydd ar gael gydag allweddi a thystysgrifau yno. Dylai'r canlyniad terfynol fod yn rhywbeth fel hyn:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtAr ôl hyn, byddwn yn cyfuno'r cadwyni tystysgrif yn un ffeil gan ddefnyddio'r gorchymyn cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt a gwnewch yn siŵr bod popeth mewn trefn gyda'r tystysgrifau gan ddefnyddio'r gorchymyn /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Ar ôl i ddilysu'r tystysgrifau a'r allwedd fod yn llwyddiannus, gallwch chi ddechrau eu gosod.
Er mwyn dechrau'r gosodiad, yn gyntaf byddwn yn cyfuno'r dystysgrif parth a'r cadwyni dibynadwy gan awdurdodau ardystio yn un ffeil. Gellir gwneud hyn hefyd gan ddefnyddio un gorchymyn fel cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Ar ôl hyn, mae angen i chi redeg y gorchymyn er mwyn ysgrifennu'r holl dystysgrifau a'r allwedd i LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyac yna gosodwch y tystysgrifau gan ddefnyddio'r gorchymyn /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Ar ôl gosod, bydd y tystysgrifau a'r allwedd i'r parth company.ru yn cael eu storio yn y ffolder /opt/zimbra/conf/domaincerts/company.ru.
Trwy ailadrodd y camau hyn gan ddefnyddio gwahanol enwau parth ond yr un cyfeiriad IP, mae'n bosibl cynnal rhai cannoedd o barthau ar un cyfeiriad IPv4. Yn yr achos hwn, gallwch ddefnyddio tystysgrifau o amrywiaeth o ganolfannau cyhoeddi heb unrhyw broblemau. Gallwch wirio cywirdeb yr holl gamau gweithredu a gyflawnwyd mewn unrhyw borwr, lle dylai pob enw gwesteiwr rhithwir arddangos ei dystysgrif SSL ei hun.
Ar gyfer pob cwestiwn sy'n ymwneud â Zextras Suite, gallwch gysylltu â Chynrychiolydd Zextras Ekaterina Triandafilidi trwy e-bost [e-bost wedi'i warchod]
Ffynhonnell: hab.com