21. sajandi alguses on selline ressurss nagu IPv4-aadressid ammendunud. Veel 2011. aastal eraldas IANA oma aadressiruumist viimased viis /8 plokki piirkondlikele internetiregistripidajatele ning juba 2017. aastal said need aadressid otsa. Vastus IPv4-aadresside katastroofilisele nappusele ei olnud mitte ainult IPv6-protokolli tekkimine, vaid ka SNI-tehnoloogia, mis võimaldas majutada tohutul hulgal veebisaite ühel IPv4-aadressil. SNI olemus seisneb selles, et see laiendus võimaldab klientidel kätlemisprotsessi ajal öelda serverile selle saidi nime, millega ta soovib ühendust luua. See võimaldab serveril salvestada mitu sertifikaati, mis tähendab, et ühel IP-aadressil saab töötada mitu domeeni. SNI-tehnoloogia on muutunud eriti populaarseks äriliste SaaS-i pakkujate seas, kellel on võimalus majutada peaaegu piiramatul hulgal domeene, arvestamata selleks vajalike IPv4-aadresside arvu. Uurime välja, kuidas saate Zimbra Collaboration Suite'i avatud lähtekoodiga väljaandes SNI-tuge rakendada.
SNI töötab kõigis Zimbra OSE praegustes ja toetatud versioonides. Kui teil on Zimbra avatud lähtekoodiga tarkvara, mis töötab mitme serveriga infrastruktuuris, peate sooritama kõik allolevad toimingud sõlmes, kuhu on installitud Zimbra puhverserver. Lisaks vajate iga domeeni jaoks, mida soovite oma IPv4-aadressil hostida, sobivaid sertifikaadi ja võtme paare, samuti oma CA-lt usaldusväärseid sertifikaadiahelaid. Pange tähele, et enamiku vigade põhjus SNI seadistamisel Zimbra OSE-s on täpselt valed sertifikaatidega failid. Seetõttu soovitame teil enne nende otsest paigaldamist kõike hoolikalt kontrollida.
Esiteks, selleks, et SNI saaks normaalselt töötada, peate sisestama käsu zmprov mcf zimbraReverseProxySNIEenabled TRUE Zimbra puhverserveri sõlmes ja seejärel taaskäivitage puhverserveri teenus käsuga zmproxyctl taaskäivitage.
Alustame domeeninime loomisega. Näiteks võtame domeeni company.ru ja kui domeen on juba loodud, otsustame Zimbra virtuaalse hosti nime ja virtuaalse IP-aadressi. Pange tähele, et Zimbra virtuaalse hosti nimi peab ühtima nimega, mille kasutaja peab domeenile juurdepääsuks brauserisse sisestama, ja ühtima ka sertifikaadis määratud nimega. Näiteks võtame virtuaalse hostinimena Zimbra mail.company.ru, ja virtuaalse IPv4-aadressina kasutame aadressi 1.2.3.4.
Pärast seda sisestage lihtsalt käsk zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra virtuaalse hosti sidumiseks virtuaalse IP-aadressiga. Pange tähele, et kui server asub NAT-i või tulemüüri taga, peate tagama, et kõik päringud domeenile läheksid sellega seotud välisele IP-aadressile, mitte selle aadressile kohalikus võrgus.
Kui kõik on tehtud, jääb üle vaid domeeni sertifikaadid kontrollida ja installimiseks ette valmistada ning seejärel installida.
Kui domeeni sertifikaadi väljastamine viidi lõpule õigesti, peaks teil olema kolm sertifikaatidega faili: kaks neist on teie sertifitseerimisasutuse sertifikaatide ahelad ja üks on domeeni otsesertifikaat. Lisaks peab teil olema fail võtmega, mida kasutasite sertifikaadi saamiseks. Looge eraldi kaust /tmp/company.ru ja asetage sinna kõik saadaolevad failid koos võtmete ja sertifikaatidega. Lõpptulemus peaks olema umbes selline:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPärast seda ühendame sertifikaadiahelad käsu abil üheks failiks kassifirma.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt ja veenduge käsu abil, et sertifikaatidega on kõik korras /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Kui sertifikaatide ja võtme kontrollimine on edukas, võite alustada nende installimist.
Installimise alustamiseks ühendame esmalt domeenisertifikaadi ja sertifitseerimisasutuste usaldusväärsed ketid ühte faili. Seda saab teha ka ühe käsuga nagu kass company.ru.crt company.ru_ca.crt >> company.ru.bundle. Pärast seda peate kõigi sertifikaatide ja võtme LDAP-i kirjutamiseks käivitama käsu: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyja seejärel installige käsuga sertifikaadid /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Pärast installimist salvestatakse sertifikaadid ja domeeni company.ru võti kausta /opt/zimbra/conf/domaincerts/company.ru.
Korrates neid samme, kasutades erinevaid domeeninimesid, kuid sama IP-aadressi, on võimalik majutada mitusada domeeni ühel IPv4-aadressil. Sel juhul saate probleemideta kasutada mitmesuguste väljastavate keskuste sertifikaate. Kõigi tehtud toimingute õigsust saate kontrollida mis tahes brauseris, kus iga virtuaalse hosti nimi peaks näitama oma SSL-sertifikaati.
Kõigi Zextras Suite'i puudutavate küsimuste korral võite pöörduda Zextras esindaja Ekaterina Triandafilidi poole e-posti teel [meiliga kaitstud]
Allikas: www.habr.com