Komence de la 21-a jarcento, rimedo kiel IPv4-adresoj estas ĉe la rando de elĉerpiĝo. Jam en 2011, IANA asignis la lastajn kvin ceterajn /8-blokojn de sia adresspaco al regionaj interretaj registriloj, kaj jam en 2017 ili elĉerpigis adresojn. La respondo al la katastrofa manko de IPv4-adresoj estis ne nur la apero de la IPv6-protokolo, sed ankaŭ la SNI-teknologio, kiu ebligis gastigi grandegan nombron da retejoj sur ununura IPv4-adreso. La esenco de SNI estas, ke ĉi tiu etendo permesas al klientoj, dum la manprema procezo, diri al la servilo la nomon de la retejo kun kiu ĝi volas konektiĝi. Ĉi tio permesas al la servilo stoki plurajn atestilojn, kio signifas, ke pluraj domajnoj povas funkcii per unu IP-adreso. SNI-teknologio fariĝis speciale populara inter komercaj SaaS-provizantoj, kiuj havas la ŝancon gastigi preskaŭ senliman nombron da domajnoj sen konsidero al la nombro da IPv4-adresoj necesaj por tio. Ni eksciu kiel vi povas efektivigi SNI-subtenon en Zimbra Collaboration Suite Open-Source Edition.
SNI funkcias en ĉiuj aktualaj kaj subtenataj versioj de Zimbra OSE. Se vi havas Zimbra Open-Source funkciantan sur plur-servila infrastrukturo, vi devos plenumi ĉiujn paŝojn sube sur nodo kun la Zimbra Proxy-servilo instalita. Krome, vi bezonos kongruajn atestil+ŝlosilparojn, same kiel fidindajn atestilĉenojn de via CA por ĉiu el la domajnoj, kiujn vi volas gastigi en via IPv4-adreso. Bonvolu noti, ke la kaŭzo de la granda plimulto de eraroj dum agordado de SNI en Zimbra OSE estas ĝuste malĝustaj dosieroj kun atestiloj. Tial ni konsilas vin zorge kontroli ĉion antaŭ instali ilin rekte.
Antaŭ ĉio, por ke SNI funkciu normale, vi devas enigi la komandon zmprov mcf zimbraReverseProxySNIEnabled TRUE sur la prokura nodo Zimbra, kaj poste rekomencu la Prokuran servon per la komando zmproxyctl rekomenci.
Ni komencos kreante domajnan nomon. Ekzemple, ni prenos la domajnon firmao.ru kaj, post kiam la domajno jam estas kreita, ni decidos pri la virtuala gastiga nomo de Zimbra kaj virtuala IP-adreso. Bonvolu noti, ke la virtuala gastiga nomo de Zimbra devas kongrui kun la nomo, kiun la uzanto devas enigi en la retumilo por aliri la domajnon, kaj ankaŭ kongrui kun la nomo specifita en la atestilo. Ekzemple, ni prenu Zimbra kiel la virtualan gastigan nomon mail.company.ru, kaj kiel virtuala IPv4-adreso ni uzas la adreson 1.2.3.4.
Post ĉi tio, simple enigu la komandon zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4por ligi la virtualan gastiganton Zimbra al virtuala IP-adreso. Bonvolu noti, ke se la servilo situas malantaŭ NAT aŭ fajroŝirmilo, vi devas certigi, ke ĉiuj petoj al la domajno iras al la ekstera IP-adreso asociita kun ĝi, kaj ne al ĝia adreso en la loka reto.
Post kiam ĉio estas farita, ĉio, kio restas, estas kontroli kaj prepari la domajnajn atestilojn por instalado, kaj poste instali ilin.
Se la emisio de domajna atestilo estis ĝuste kompletigita, vi devus havi tri dosierojn kun atestiloj: du el ili estas ĉenoj de atestiloj de via atestadaŭtoritato, kaj unu estas rekta atestilo por la domajno. Krome, vi devas havi dosieron kun la ŝlosilo, kiun vi uzis por akiri la atestilon. Kreu apartan dosierujon /tmp/company.ru kaj metu tie ĉiujn disponeblajn dosierojn kun ŝlosiloj kaj atestiloj. La fina rezulto devus esti io kiel ĉi tio:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPost ĉi tio, ni kombinos la atestilĉenojn en unu dosieron per la komando cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt kaj certigu, ke ĉio estas en ordo kun la atestiloj uzante la komandon /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Post kiam la kontrolo de la atestiloj kaj ŝlosilo estas sukcesa, vi povas komenci instali ilin.
Por komenci la instaladon, ni unue kombinos la domajnan atestilon kaj fidindajn ĉenojn de atestaj aŭtoritatoj en unu dosieron. Ĉi tio ankaŭ povas esti farita uzante unu komandon kiel cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Post ĉi tio, vi devas ruli la komandon por skribi ĉiujn atestojn kaj la ŝlosilon al LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keykaj poste instalu la atestojn per la komando /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Post instalado, la atestiloj kaj la ŝlosilo de la domajno company.ru estos konservitaj en la dosierujo /opt/zimbra/conf/domaincerts/company.ru.
Ripetante ĉi tiujn paŝojn uzante malsamajn domajnajn nomojn sed la saman IP-adreson, eblas gastigi plurajn centojn da domajnoj sur ununura IPv4-adreso. En ĉi tiu kazo, vi povas uzi atestojn de diversaj eldonaj centroj sen problemoj. Vi povas kontroli la ĝustecon de ĉiuj agoj faritaj en iu ajn retumilo, kie ĉiu virtuala gastiga nomo devas montri sian propran SSL-atestilon.
Por ĉiuj demandoj rilataj al Zextras Suite, vi povas kontakti la Reprezentanton de Zextras Ekaterina Triandafilidi retpoŝte [retpoŝte protektita]
fonto: www.habr.com