Zu Beginn des 21. Jahrhunderts steht eine Ressource wie IPv4-Adressen kurz vor der Erschöpfung. Bereits 2011 teilte die IANA die letzten fünf verbleibenden /8-Blöcke ihres Adressraums regionalen Internet-Registraren zu, und bereits 2017 gingen ihnen die Adressen aus. Die Antwort auf den katastrophalen Mangel an IPv4-Adressen war nicht nur das Aufkommen des IPv6-Protokolls, sondern auch die SNI-Technologie, die es ermöglichte, eine große Anzahl von Websites auf einer einzigen IPv4-Adresse zu hosten. Der Kern von SNI besteht darin, dass diese Erweiterung es Clients ermöglicht, dem Server während des Handshake-Prozesses den Namen der Site mitzuteilen, mit der er eine Verbindung herstellen möchte. Dadurch kann der Server mehrere Zertifikate speichern, was bedeutet, dass mehrere Domänen unter einer IP-Adresse betrieben werden können. Besonders beliebt ist die SNI-Technologie bei Business-SaaS-Anbietern, die die Möglichkeit haben, eine nahezu unbegrenzte Anzahl von Domains zu hosten, ohne Rücksicht auf die Anzahl der dafür erforderlichen IPv4-Adressen. Lassen Sie uns herausfinden, wie Sie SNI-Unterstützung in der Zimbra Collaboration Suite Open-Source Edition implementieren können.
SNI funktioniert in allen aktuellen und unterstützten Versionen von Zimbra OSE. Wenn Zimbra Open-Source auf einer Infrastruktur mit mehreren Servern ausgeführt wird, müssen Sie alle folgenden Schritte auf einem Knoten ausführen, auf dem der Zimbra-Proxyserver installiert ist. Darüber hinaus benötigen Sie passende Zertifikat-Schlüssel-Paare sowie vertrauenswürdige Zertifikatsketten von Ihrer Zertifizierungsstelle für jede der Domänen, die Sie unter Ihrer IPv4-Adresse hosten möchten. Bitte beachten Sie, dass die Ursache für die allermeisten Fehler beim Einrichten von SNI in Zimbra OSE gerade falsche Dateien mit Zertifikaten sind. Daher empfehlen wir Ihnen, vor der direkten Installation alles sorgfältig zu prüfen.
Damit SNI normal funktioniert, müssen Sie zunächst den Befehl eingeben zmprov mcf zimbraReverseProxySNIEnabled TRUE auf dem Zimbra-Proxy-Knoten und starten Sie dann den Proxy-Dienst mit dem Befehl neu zmproxyctl neu starten.
Wir beginnen mit der Erstellung eines Domainnamens. Nehmen wir als Beispiel die Domain unternehmen.ru und nachdem die Domain bereits erstellt wurde, entscheiden wir über den virtuellen Hostnamen und die virtuelle IP-Adresse von Zimbra. Bitte beachten Sie, dass der Name des virtuellen Hosts von Zimbra mit dem Namen übereinstimmen muss, den der Benutzer in den Browser eingeben muss, um auf die Domäne zuzugreifen, und außerdem mit dem im Zertifikat angegebenen Namen übereinstimmen muss. Nehmen wir zum Beispiel Zimbra als virtuellen Hostnamen mail.company.ru, und als virtuelle IPv4-Adresse verwenden wir die Adresse 1.2.3.4.
Geben Sie anschließend einfach den Befehl ein zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4um den virtuellen Zimbra-Host an eine virtuelle IP-Adresse zu binden. Bitte beachten Sie: Wenn sich der Server hinter einem NAT oder einer Firewall befindet, müssen Sie sicherstellen, dass alle Anfragen an die Domäne an die mit ihr verknüpfte externe IP-Adresse gehen und nicht an ihre Adresse im lokalen Netzwerk.
Nachdem alles erledigt ist, müssen nur noch die Domänenzertifikate überprüft, für die Installation vorbereitet und anschließend installiert werden.
Wenn die Ausstellung eines Domänenzertifikats korrekt abgeschlossen wurde, sollten Sie über drei Dateien mit Zertifikaten verfügen: Zwei davon sind Zertifikatsketten Ihrer Zertifizierungsstelle und eine ist ein direktes Zertifikat für die Domäne. Darüber hinaus benötigen Sie eine Datei mit dem Schlüssel, mit dem Sie das Zertifikat erhalten haben. Erstellen Sie einen separaten Ordner /tmp/company.ru und legen Sie dort alle verfügbaren Dateien mit Schlüsseln und Zertifikaten ab. Das Endergebnis sollte etwa so aussehen:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtAnschließend werden wir die Zertifikatsketten mit dem Befehl in einer Datei zusammenfassen Katze Company.ru.root.crt Company.ru.intermediate.crt >> Company.ru_ca.crt und stellen Sie mithilfe des Befehls sicher, dass mit den Zertifikaten alles in Ordnung ist /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nachdem die Überprüfung der Zertifikate und Schlüssel erfolgreich war, können Sie mit der Installation beginnen.
Um mit der Installation zu beginnen, fassen wir zunächst das Domänenzertifikat und die vertrauenswürdigen Ketten von Zertifizierungsstellen in einer Datei zusammen. Dies kann auch mit einem Befehl erfolgen, z Katze Company.ru.crt Company.ru_ca.crt >> Company.ru.bundle. Danach müssen Sie den Befehl ausführen, um alle Zertifikate und den Schlüssel in LDAP zu schreiben: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyund installieren Sie dann die Zertifikate mit dem Befehl /opt/zimbra/libexec/zmdomaincertmgrploycrts. Nach der Installation werden die Zertifikate und der Schlüssel zur Domäne „company.ru“ im Ordner gespeichert /opt/zimbra/conf/domaincerts/company.ru.
Durch Wiederholen dieser Schritte mit unterschiedlichen Domänennamen, aber derselben IP-Adresse ist es möglich, mehrere hundert Domänen unter einer einzigen IPv4-Adresse zu hosten. In diesem Fall können Sie problemlos Zertifikate verschiedener Ausstellungsstellen nutzen. Sie können die Richtigkeit aller durchgeführten Aktionen in jedem Browser überprüfen, wobei jeder virtuelle Hostname sein eigenes SSL-Zertifikat anzeigen sollte.
Bei allen Fragen im Zusammenhang mit der Zextras Suite können Sie sich per E-Mail an die Vertreterin von Zextras Ekaterina Triandafilidi wenden [E-Mail geschützt]
Source: habr.com