Στις αρχές του 21ου αιώνα, ένας πόρος όπως οι διευθύνσεις IPv4 βρίσκεται στα πρόθυρα εξάντλησης. Το 2011, το IANA διέθεσε τα τελευταία πέντε εναπομείναντα /8 μπλοκ του χώρου διευθύνσεών του σε περιφερειακούς καταχωρητές Διαδικτύου και ήδη το 2017 τελείωσαν από διευθύνσεις. Η απάντηση στην καταστροφική έλλειψη διευθύνσεων IPv4 δεν ήταν μόνο η εμφάνιση του πρωτοκόλλου IPv6, αλλά και η τεχνολογία SNI, η οποία κατέστησε δυνατή τη φιλοξενία ενός τεράστιου αριθμού ιστοσελίδων σε μία μόνο διεύθυνση IPv4. Η ουσία του SNI είναι ότι αυτή η επέκταση επιτρέπει στους πελάτες, κατά τη διαδικασία χειραψίας, να πουν στον διακομιστή το όνομα του ιστότοπου με τον οποίο θέλει να συνδεθεί. Αυτό επιτρέπει στον διακομιστή να αποθηκεύει πολλά πιστοποιητικά, πράγμα που σημαίνει ότι πολλοί τομείς μπορούν να λειτουργούν σε μία διεύθυνση IP. Η τεχνολογία SNI έχει γίνει ιδιαίτερα δημοφιλής μεταξύ των παρόχων επιχειρηματικών SaaS, οι οποίοι έχουν την ευκαιρία να φιλοξενούν σχεδόν απεριόριστο αριθμό τομέων χωρίς να λαμβάνεται υπόψη ο αριθμός των διευθύνσεων IPv4 που απαιτούνται για αυτό. Ας μάθουμε πώς μπορείτε να εφαρμόσετε την υποστήριξη SNI στην Open-Source Έκδοση Zimbra Collaboration Suite.
Το SNI λειτουργεί σε όλες τις τρέχουσες και υποστηριζόμενες εκδόσεις του Zimbra OSE. Εάν έχετε το Zimbra Open-Source που εκτελείται σε μια υποδομή πολλών διακομιστών, θα χρειαστεί να εκτελέσετε όλα τα παρακάτω βήματα σε έναν κόμβο με εγκατεστημένο τον διακομιστή μεσολάβησης Zimbra. Επιπλέον, θα χρειαστείτε ταιριαστά ζεύγη πιστοποιητικού+κλειδιού, καθώς και αξιόπιστες αλυσίδες πιστοποιητικών από την ΑΠ σας για καθέναν από τους τομείς που θέλετε να φιλοξενήσετε στη διεύθυνση IPv4 σας. Λάβετε υπόψη ότι η αιτία της συντριπτικής πλειοψηφίας των σφαλμάτων κατά τη ρύθμιση του SNI στο Zimbra OSE είναι ακριβώς λανθασμένα αρχεία με πιστοποιητικά. Επομένως, σας συμβουλεύουμε να ελέγξετε προσεκτικά τα πάντα πριν τα εγκαταστήσετε απευθείας.
Πρώτα απ 'όλα, για να λειτουργήσει κανονικά το SNI, πρέπει να εισαγάγετε την εντολή zmprov mcf zimbraReverseProxySNIEnabled TRUE στον κόμβο διακομιστή μεσολάβησης Zimbra και, στη συνέχεια, επανεκκινήστε την υπηρεσία διακομιστή μεσολάβησης χρησιμοποιώντας την εντολή επανεκκίνηση zmproxyctl.
Θα ξεκινήσουμε δημιουργώντας ένα όνομα τομέα. Για παράδειγμα, θα πάρουμε τον τομέα company.ru και, αφού έχει ήδη δημιουργηθεί ο τομέας, θα αποφασίσουμε για το όνομα εικονικού κεντρικού υπολογιστή Zimbra και την εικονική διεύθυνση IP. Λάβετε υπόψη ότι το όνομα εικονικού κεντρικού υπολογιστή Zimbra πρέπει να ταιριάζει με το όνομα που πρέπει να εισαγάγει ο χρήστης στο πρόγραμμα περιήγησης για να αποκτήσει πρόσβαση στον τομέα και επίσης να ταιριάζει με το όνομα που καθορίζεται στο πιστοποιητικό. Για παράδειγμα, ας πάρουμε το Zimbra ως το όνομα εικονικού κεντρικού υπολογιστή mail.company.ru, και ως εικονική διεύθυνση IPv4 χρησιμοποιούμε τη διεύθυνση 1.2.3.4.
Μετά από αυτό, απλώς εισάγετε την εντολή zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4για να συνδέσετε τον εικονικό κεντρικό υπολογιστή Zimbra σε μια εικονική διεύθυνση IP. Λάβετε υπόψη ότι εάν ο διακομιστής βρίσκεται πίσω από ένα NAT ή τείχος προστασίας, πρέπει να βεβαιωθείτε ότι όλα τα αιτήματα στον τομέα πηγαίνουν στην εξωτερική διεύθυνση IP που σχετίζεται με αυτόν και όχι στη διεύθυνσή του στο τοπικό δίκτυο.
Αφού ολοκληρωθούν όλα, το μόνο που μένει είναι να ελέγξετε και να προετοιμάσετε τα πιστοποιητικά τομέα για εγκατάσταση και στη συνέχεια να τα εγκαταστήσετε.
Εάν η έκδοση ενός πιστοποιητικού τομέα ολοκληρώθηκε σωστά, θα πρέπει να έχετε τρία αρχεία με πιστοποιητικά: δύο από αυτά είναι αλυσίδες πιστοποιητικών από την αρχή πιστοποίησης και το ένα είναι ένα άμεσο πιστοποιητικό για τον τομέα. Επιπλέον, πρέπει να έχετε ένα αρχείο με το κλειδί που χρησιμοποιήσατε για να αποκτήσετε το πιστοποιητικό. Δημιουργήστε έναν ξεχωριστό φάκελο /tmp/company.ru και τοποθετήστε όλα τα υπάρχοντα αρχεία με κλειδιά και πιστοποιητικά εκεί. Το τελικό αποτέλεσμα θα πρέπει να είναι κάπως έτσι:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtΜετά από αυτό, θα συνδυάσουμε τις αλυσίδες πιστοποιητικών σε ένα αρχείο χρησιμοποιώντας την εντολή cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt και βεβαιωθείτε ότι όλα είναι εντάξει με τα πιστοποιητικά χρησιμοποιώντας την εντολή /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Μετά την επιτυχή επαλήθευση των πιστοποιητικών και του κλειδιού, μπορείτε να ξεκινήσετε την εγκατάστασή τους.
Για να ξεκινήσει η εγκατάσταση, θα συνδυάσουμε πρώτα το πιστοποιητικό τομέα και τις αξιόπιστες αλυσίδες από τις αρχές πιστοποίησης σε ένα αρχείο. Αυτό μπορεί επίσης να γίνει χρησιμοποιώντας μια εντολή όπως cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Μετά από αυτό, πρέπει να εκτελέσετε την εντολή για να γράψετε όλα τα πιστοποιητικά και το κλειδί στο LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyκαι στη συνέχεια εγκαταστήστε τα πιστοποιητικά χρησιμοποιώντας την εντολή /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Μετά την εγκατάσταση, τα πιστοποιητικά και το κλειδί του τομέα company.ru θα αποθηκευτούν στον φάκελο /opt/zimbra/conf/domaincerts/company.ru.
Επαναλαμβάνοντας αυτά τα βήματα χρησιμοποιώντας διαφορετικά ονόματα τομέα αλλά την ίδια διεύθυνση IP, είναι δυνατό να φιλοξενήσετε αρκετές εκατοντάδες τομείς σε μία μόνο διεύθυνση IPv4. Σε αυτήν την περίπτωση, μπορείτε να χρησιμοποιήσετε πιστοποιητικά από διάφορα κέντρα έκδοσης χωρίς κανένα πρόβλημα. Μπορείτε να ελέγξετε την ορθότητα όλων των ενεργειών που εκτελούνται σε οποιοδήποτε πρόγραμμα περιήγησης, όπου κάθε όνομα εικονικού κεντρικού υπολογιστή πρέπει να εμφανίζει το δικό του πιστοποιητικό SSL.
Για όλες τις ερωτήσεις που σχετίζονται με το Zextras Suite, μπορείτε να επικοινωνήσετε με την Εκπρόσωπο της Zextras Αικατερίνα Τριανταφυλλίδη μέσω e-mail [προστασία μέσω email]
Πηγή: www.habr.com