21. sajandi alguses on selline ressurss nagu IPv4-aadressid ammendunud. Veel 2011. aastal eraldas IANA oma aadressiruumist viimased viis /8 plokki piirkondlikele internetiregistripidajatele ning juba 2017. aastal said need aadressid otsa. Vastus IPv4-aadresside katastroofilisele nappusele ei olnud mitte ainult IPv6-protokolli tekkimine, vaid ka SNI-tehnoloogia, mis võimaldas majutada tohutul hulgal veebisaite ühel IPv4-aadressil. SNI olemus seisneb selles, et see laiendus võimaldab klientidel kätlemisprotsessi ajal öelda serverile selle saidi nime, millega ta soovib ühendust luua. See võimaldab serveril salvestada mitu sertifikaati, mis tähendab, et ühel IP-aadressil saab töötada mitu domeeni. SNI-tehnoloogia on muutunud eriti populaarseks äriliste SaaS-i pakkujate seas, kellel on võimalus majutada peaaegu piiramatul hulgal domeene, arvestamata selleks vajalike IPv4-aadresside arvu. Uurime välja, kuidas saate Zimbra Collaboration Suite'i avatud lähtekoodiga väljaandes SNI-tuge rakendada.
SNI töötab kõigis Zimbra OSE praegustes ja toetatud versioonides. Kui teil on Zimbra avatud lähtekoodiga tarkvara, mis töötab mitme serveriga infrastruktuuris, peate sooritama kõik allolevad toimingud sõlmes, kuhu on installitud Zimbra puhverserver. Lisaks vajate iga domeeni jaoks, mida soovite oma IPv4-aadressil hostida, sobivaid sertifikaadi ja võtme paare, samuti oma CA-lt usaldusväärseid sertifikaadiahelaid. Pange tähele, et enamiku vigade põhjus SNI seadistamisel Zimbra OSE-s on täpselt valed sertifikaatidega failid. Seetõttu soovitame teil enne nende otsest paigaldamist kõike hoolikalt kontrollida.
Esiteks, selleks, et SNI saaks normaalselt töötada, peate sisestama käsu zmprov mcf zimbraReverseProxySNIEenabled TRUE Zimbra puhverserveri sõlmes ja seejärel taaskäivitage puhverserveri teenus käsuga zmproxyctl taaskäivitage.
Alustame domeeninime loomisega. Näiteks võtame domeeni company.ru ja kui domeen on juba loodud, otsustame Zimbra virtuaalse hosti nime ja virtuaalse IP-aadressi. Pange tähele, et Zimbra virtuaalse hosti nimi peab ühtima nimega, mille kasutaja peab domeenile juurdepääsuks brauserisse sisestama, ja ühtima ka sertifikaadis määratud nimega. Näiteks võtame virtuaalse hostinimena Zimbra mail.company.ru, ja virtuaalse IPv4-aadressina kasutame aadressi 1.2.3.4.
Pärast seda sisestage lihtsalt käsk zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra virtuaalse hosti virtuaalse serveriga sidumiseks IP-aadressPane tähele, et kui server asub NAT-i või tulemüüri taga, pead tagama, et kõik domeenile saadetud päringud suunatakse sellega seotud välisele IP-aadressile, mitte kohaliku võrgu aadressile.
Kui kõik on tehtud, jääb üle vaid domeeni sertifikaadid kontrollida ja installimiseks ette valmistada ning seejärel installida.
Kui domeeni sertifikaadi väljastamine viidi lõpule õigesti, peaks teil olema kolm sertifikaatidega faili: kaks neist on teie sertifitseerimisasutuse sertifikaatide ahelad ja üks on domeeni otsesertifikaat. Lisaks peab teil olema fail võtmega, mida kasutasite sertifikaadi saamiseks. Looge eraldi kaust /tmp/company.ru ja asetage sinna kõik saadaolevad failid koos võtmete ja sertifikaatidega. Lõpptulemus peaks olema umbes selline:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPärast seda ühendame sertifikaadiahelad käsu abil üheks failiks kassifirma.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt ja veenduge käsu abil, et sertifikaatidega on kõik korras /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Kui sertifikaatide ja võtme kontrollimine on edukas, võite alustada nende installimist.
Installimise alustamiseks ühendame esmalt domeenisertifikaadi ja sertifitseerimisasutuste usaldusväärsed ketid ühte faili. Seda saab teha ka ühe käsuga nagu kass company.ru.crt company.ru_ca.crt >> company.ru.bundle. Pärast seda peate kõigi sertifikaatide ja võtme LDAP-i kirjutamiseks käivitama käsu: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyja seejärel installige käsuga sertifikaadid /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Pärast installimist salvestatakse sertifikaadid ja domeeni company.ru võti kausta /opt/zimbra/conf/domaincerts/company.ru.
Korrates neid samme erinevate domeeninimedega, aga sama IP-aadressiga, saate ühel IPv4-aadressil majutada mitu sada domeeni. Samuti saate probleemideta kasutada erinevate sertifitseerimisasutuste sertifikaate. Saate kontrollida, kas kõik sammud on õigesti lõpule viidud, mis tahes brauseris, kus iga virtuaalne hostinimi peaks kuvama oma... SSL-sertifikaat.
Kõigi Zextras Suite'iga seotud küsimuste korral võite võtta ühendust Zextrase esindaja Ekaterina Triandafilidiga meili teel katerina@zextras.com
Allikas: www.habr.com
