A principios del siglo XXI, un recurso como las direcciones IPv21 está al borde del agotamiento. En 4, la IANA asignó los últimos cinco bloques /2011 restantes de su espacio de direcciones a registradores regionales de Internet, y ya en 8 se quedaron sin direcciones. La respuesta a la catastrófica escasez de direcciones IPv2017 no fue sólo la aparición del protocolo IPv4, sino también la tecnología SNI, que hizo posible alojar una gran cantidad de sitios web en una sola dirección IPv6. La esencia de SNI es que esta extensión permite a los clientes, durante el proceso de intercambio, decirle al servidor el nombre del sitio con el que desea conectarse. Esto permite que el servidor almacene múltiples certificados, lo que significa que múltiples dominios pueden operar en una dirección IP. La tecnología SNI se ha vuelto especialmente popular entre los proveedores empresariales de SaaS, que tienen la oportunidad de alojar una cantidad casi ilimitada de dominios sin tener en cuenta la cantidad de direcciones IPv4 necesarias para ello. Descubramos cómo puede implementar la compatibilidad con SNI en Zimbra Collaboration Suite Open-Source Edition.
SNI funciona en todas las versiones actuales y compatibles de Zimbra OSE. Si tiene Zimbra Open-Source ejecutándose en una infraestructura de múltiples servidores, deberá realizar todos los pasos a continuación en un nodo con el servidor Zimbra Proxy instalado. Además, necesitará pares de claves y certificados coincidentes, así como cadenas de certificados confiables de su CA para cada uno de los dominios que desee alojar en su dirección IPv4. Tenga en cuenta que la causa de la gran mayoría de errores al configurar SNI en Zimbra OSE son precisamente archivos incorrectos con certificados. Por ello, te aconsejamos que revises todo detenidamente antes de instalarlos directamente.
En primer lugar, para que SNI funcione normalmente, debe ingresar el comando zmprov mcf zimbraReverseProxySNIEnabled TRUE en el nodo proxy Zimbra y luego reinicie el servicio Proxy usando el comando reiniciar zmproxyctl.
Comenzaremos creando un nombre de dominio. Por ejemplo, tomaremos el dominio empresa.ru y, una vez creado el dominio, decidiremos el nombre del host virtual de Zimbra y la dirección IP virtual. Tenga en cuenta que el nombre del host virtual de Zimbra debe coincidir con el nombre que el usuario debe ingresar en el navegador para acceder al dominio, y también debe coincidir con el nombre especificado en el certificado. Por ejemplo, tomemos Zimbra como nombre de host virtual. correo.empresa.ru, y como dirección IPv4 virtual usamos la dirección 1.2.3.4.
Después de esto, simplemente ingrese el comando zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4para vincular el host virtual Zimbra a una dirección IP virtual. Tenga en cuenta que si el servidor está ubicado detrás de un NAT o un firewall, debe asegurarse de que todas las solicitudes al dominio vayan a la dirección IP externa asociada a él y no a su dirección en la red local.
Una vez hecho todo, solo queda comprobar y preparar los certificados de dominio para la instalación y luego instalarlos.
Si la emisión de un certificado de dominio se completó correctamente, debería tener tres archivos con certificados: dos de ellos son cadenas de certificados de su autoridad de certificación y uno es un certificado directo para el dominio. Además, deberás tener un archivo con la clave que utilizaste para obtener el certificado. Crear una carpeta separada /tmp/company.ru y coloque allí todos los archivos existentes con claves y certificados. El resultado final debería ser algo como esto:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDespués de esto, combinaremos las cadenas de certificados en un solo archivo usando el comando gato empresa.ru.root.crt empresa.ru.intermediate.crt >> empresa.ru_ca.crt y asegúrese de que todo esté en orden con los certificados usando el comando /opt/zimbra/bin/zmcertmgr verificarcrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Una vez que la verificación de los certificados y la clave sea exitosa, puede comenzar a instalarlos.
Para comenzar la instalación, primero combinaremos el certificado de dominio y las cadenas de confianza de las autoridades de certificación en un solo archivo. Esto también se puede hacer usando un comando como gato empresa.ru.crt empresa.ru_ca.crt >> empresa.ru.bundle. Después de esto, necesitas ejecutar el comando para escribir todos los certificados y la clave en LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyy luego instale los certificados usando el comando /opt/zimbra/libexec/zmdomaincertmgr implementarcrts. Después de la instalación, los certificados y la clave del dominio company.ru se almacenarán en la carpeta /opt/zimbra/conf/domaincerts/company.ru.
Al repetir estos pasos usando diferentes nombres de dominio pero la misma dirección IP, es posible alojar varios cientos de dominios en una sola dirección IPv4. En este caso, podrá utilizar certificados de diversos centros emisores sin ningún problema. Puede verificar la exactitud de todas las acciones realizadas en cualquier navegador, donde cada nombre de host virtual debe mostrar su propio certificado SSL.
Para todas las preguntas relacionadas con Zextras Suite, puede comunicarse con el Representante de Zextras Ekaterina Triandafilidi por correo electrónico [email protected]
Fuente: habr.com