I begyndelsen af det 21. århundrede er en ressource som IPv4-adresser på randen af udtømning. Tilbage i 2011 allokerede IANA de sidste fem resterende /8 blokke fra sit adresseområde til regionale internetregistratorer, og i 2017 løb de også tør for adresser. Svaret på den katastrofale mangel på IPv4-adresser var ikke kun fremkomsten af IPv6-protokollen, men også SNI-teknologi, som gjorde det muligt at hoste et stort antal websteder på en enkelt IPv4-adresse. Essensen af SNI er, at denne udvidelse giver klienter mulighed for at fortælle serveren navnet på det websted, den ønsker at oprette forbindelse til, under handshake. Dette giver serveren mulighed for at gemme flere certifikater, hvilket betyder, at den kan understøtte flere domæner på en enkelt IP-adresse. SNI-teknologi er blevet særligt populær blandt SaaS-udbydere til virksomheder, som har fået mulighed for at hoste et stort set ubegrænset antal domæner uden hensyntagen til antallet af IPv4-adresser, der kræves til dette. Lad os finde ud af, hvordan du kan implementere SNI-understøttelse i Zimbra Collaboration Suite Open-Source Edition.
SNI fungerer i alle nuværende og understøttede versioner af Zimbra OSE. Hvis du har Zimbra Open-Source kørende på en multi-server infrastruktur, skal du udføre alle nedenstående trin på noden med Zimbra Proxy Server installeret. Derudover skal du bruge matchende certifikat+nøglepar samt betroede certifikatkæder fra din certificeringsmyndighed for hvert af de domæner, du vil hoste på din IPv4-adresse. Bemærk venligst, at langt de fleste fejl ved konfiguration af SNI i Zimbra OSE skyldes forkerte certifikatfiler. Derfor anbefaler vi, at du omhyggeligt kontrollerer alt, før du installerer dem.
Først og fremmest, for at SNI kan fungere korrekt, skal du indtaste kommandoen zmprov mcf zimbraReverseProxySNIEnabled TRUE på noden med Zimbra-proxyserveren, og genstart derefter proxytjenesten ved hjælp af kommandoen zmproxyctl genstart.
Vi starter med at oprette et domænenavn. For eksempel tager vi domænet company.ru og efter at domænet allerede er oprettet, beslutter vi navnet på den virtuelle Zimbra-vært og den virtuelle IP-adresse. Bemærk venligst, at navnet på den virtuelle Zimbra-vært skal stemme overens med det navn, som brugeren skal indtaste i browserens linje for at få adgang til domænet, og også stemme overens med det navn, der er angivet i certifikatet. Lad os for eksempel tage Zimbra som navnet på den virtuelle vært. mail.company.ru, og som en virtuel IPv4-adresse bruger vi adressen 1.2.3.4.
Efter dette skal du blot indtaste kommandoen zmprov md company.ru zimbraVirtuelVærtsnavn mail.company.ru zimbraVirtuelIP-adresse 1.2.3.4at binde Zimbras virtuelle vært til den virtuelle IP-adresseBemærk venligst, at hvis serveren er bag en NAT eller firewall, skal du sørge for, at alle anmodninger til domænet rettes til dens tilknyttede eksterne IP-adresse og ikke til dens lokale netværksadresse.
Når alt er gjort, er alt, hvad der er tilbage, at kontrollere og forberede domænecertifikaterne til installation, og derefter installere dem.
Hvis domænecertifikatet blev udstedt korrekt, burde du have tre filer med certifikater ved hånden: to af dem er kæder af certifikater fra din certificeringsmyndighed, og en er det direkte certifikat for domænet. Derudover burde du have en fil med den nøgle, du brugte til at få certifikatet. Opret en separat mappe. /tmp/company.ru og læg alle de eksisterende filer med nøgler og certifikater der. Resultatet burde se sådan ud:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDerefter kombinerer vi certifikatkæderne i én fil ved hjælp af kommandoen kat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt og sørg for at alt er i orden med certifikaterne ved hjælp af kommandoen /opt/zimbra/bin/zmcertmgr verificerercrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crtNår certifikaterne og nøglen er blevet verificeret, kan du begynde at installere dem.
For at starte installationen skal vi først kombinere domænecertifikatet og de betroede kæder fra certificeringsmyndighederne i én fil. Dette gøres også ved hjælp af én kommando af typen kat company.ru.crt company.ru_ca.crt >> company.ru.bundleDerefter skal du køre kommandoen for at skrive alle certifikater og nøglen til LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyog installer derefter certifikaterne ved hjælp af kommandoen /opt/zimbra/libexec/zmdomaincertmgr deploycrtsEfter installationen gemmes certifikater og nøglen fra domænet company.ru i mappen. /opt/zimbra/conf/domaincerts/company.ru.
Ved at gentage disse trin med forskellige domænenavne, men den samme IP-adresse, kan du hoste flere hundrede domæner på en enkelt IPv4-adresse. Du kan også bruge certifikater fra forskellige certifikatmyndigheder uden problemer. Du kan kontrollere, at alle trin er gennemført korrekt i enhver browser, hvor hvert virtuelt værtsnavn skal vise sit eget SSL certifikat.
For alle spørgsmål relateret til Zextras Suite, kan du kontakte Zextras repræsentant Ekaterina Triandafilidi på e-mail katerina@zextras.com
Kilde: www.habr.com
