I begyndelsen af det 21. århundrede er en ressource som IPv4-adresser på randen af udmattelse. Tilbage i 2011 tildelte IANA de sidste fem resterende /8 blokke af sit adresserum til regionale internetregistratorer, og allerede i 2017 løb de tør for adresser. Svaret på den katastrofale mangel på IPv4-adresser var ikke kun fremkomsten af IPv6-protokollen, men også SNI-teknologien, som gjorde det muligt at hoste et stort antal websteder på en enkelt IPv4-adresse. Essensen af SNI er, at denne udvidelse tillader klienter, under handshake-processen, at fortælle serveren navnet på det websted, som den ønsker at oprette forbindelse til. Dette giver serveren mulighed for at gemme flere certifikater, hvilket betyder, at flere domæner kan fungere på én IP-adresse. SNI-teknologi er blevet særligt populær blandt business SaaS-udbydere, som har mulighed for at hoste et næsten ubegrænset antal domæner uden hensyntagen til antallet af IPv4-adresser, der kræves hertil. Lad os finde ud af, hvordan du kan implementere SNI-understøttelse i Zimbra Collaboration Suite Open-Source Edition.
SNI fungerer i alle nuværende og understøttede versioner af Zimbra OSE. Hvis du har Zimbra Open-Source, der kører på en multi-server-infrastruktur, skal du udføre alle nedenstående trin på en node med Zimbra Proxy-serveren installeret. Derudover skal du have matchende certifikat+nøglepar samt betroede certifikatkæder fra din CA for hvert af de domæner, du vil hoste på din IPv4-adresse. Bemærk venligst, at årsagen til langt de fleste fejl ved opsætning af SNI i Zimbra OSE netop er forkerte filer med certifikater. Derfor råder vi dig til omhyggeligt at kontrollere alt, før du installerer dem direkte.
Først og fremmest, for at SNI kan fungere normalt, skal du indtaste kommandoen zmprov mcf zimbraReverseProxySNIEenabled TRUE på Zimbra proxy-noden, og genstart derefter proxy-tjenesten ved hjælp af kommandoen zmproxyctl genstart.
Vi starter med at oprette et domænenavn. For eksempel vil vi tage domænet company.ru og efter at domænet allerede er oprettet, vil vi beslutte os for Zimbras virtuelle værtsnavn og virtuelle IP-adresse. Bemærk venligst, at Zimbra virtuelle værtsnavn skal matche det navn, som brugeren skal indtaste i browseren for at få adgang til domænet, og også matche navnet angivet i certifikatet. Lad os for eksempel tage Zimbra som det virtuelle værtsnavn mail.company.ru, og som en virtuel IPv4-adresse bruger vi adressen 1.2.3.4.
Herefter skal du blot indtaste kommandoen zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4at binde den virtuelle Zimbra-vært til en virtuel IP-adresse. Bemærk venligst, at hvis serveren er placeret bag en NAT eller firewall, skal du sikre dig, at alle anmodninger til domænet går til den eksterne IP-adresse, der er tilknyttet det, og ikke til dets adresse på det lokale netværk.
Når alt er gjort, er der kun tilbage at kontrollere og forberede domænecertifikaterne til installation og derefter installere dem.
Hvis udstedelsen af et domænecertifikat blev gennemført korrekt, bør du have tre filer med certifikater: to af dem er kæder af certifikater fra din certificeringsmyndighed, og en er et direkte certifikat for domænet. Derudover skal du have en fil med den nøgle, du brugte til at få certifikatet. Opret en separat mappe /tmp/company.ru og placere alle eksisterende filer med nøgler og certifikater der. Slutresultatet skulle være noget som dette:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtEfter dette vil vi kombinere certifikatkæderne i én fil ved hjælp af kommandoen cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt og sørg for at alt er i orden med certifikaterne ved hjælp af kommandoen /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Når verifikationen af certifikaterne og nøglen er lykkedes, kan du begynde at installere dem.
For at begynde installationen vil vi først kombinere domænecertifikatet og betroede kæder fra certificeringsmyndigheder i én fil. Dette kan også gøres ved hjælp af en kommando som f.eks cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Herefter skal du køre kommandoen for at skrive alle certifikater og nøglen til LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyog installer derefter certifikaterne ved hjælp af kommandoen /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Efter installationen vil certifikaterne og nøglen til company.ru-domænet blive gemt i mappen /opt/zimbra/conf/domaincerts/company.ru.
Ved at gentage disse trin med forskellige domænenavne, men den samme IP-adresse, er det muligt at hoste flere hundrede domæner på en enkelt IPv4-adresse. I dette tilfælde kan du uden problemer bruge certifikater fra en række forskellige udstedelsescentre. Du kan kontrollere rigtigheden af alle handlinger udført i enhver browser, hvor hvert virtuelt værtsnavn skal vise sit eget SSL-certifikat.
For alle spørgsmål relateret til Zextras Suite, kan du kontakte repræsentanten for Zextras Ekaterina Triandafilidi via e-mail [e-mail beskyttet]
Kilde: www.habr.com