21-luvun alussa resurssi, kuten IPv4-osoitteet, on loppumassa. Vielä vuonna 2011 IANA jakoi viimeiset viisi jäljellä olevaa /8 lohkoa osoiteavaruudestaan alueellisille Internet-rekisteröijille, ja jo vuonna 2017 osoitteet loppuivat. Vastaus IPv4-osoitteiden katastrofaaliseen pulaan ei ollut vain IPv6-protokollan syntyminen, vaan myös SNI-tekniikka, joka mahdollisti valtavan määrän verkkosivustojen isännöinnin yhdellä IPv4-osoitteella. SNI:n ydin on, että tämän laajennuksen avulla asiakkaat voivat kädenpuristusprosessin aikana kertoa palvelimelle sen sivuston nimen, johon se haluaa muodostaa yhteyden. Tämän ansiosta palvelin voi tallentaa useita varmenteita, mikä tarkoittaa, että useita toimialueita voi toimia yhdellä IP-osoitteella. SNI-teknologiasta on tullut erityisen suosittu yritys SaaS-palveluntarjoajien keskuudessa, joilla on mahdollisuus isännöidä lähes rajoittamaton määrä verkkotunnuksia riippumatta tähän tarvittavien IPv4-osoitteiden määrästä. Katsotaanpa, kuinka voit ottaa SNI-tuen käyttöön Zimbra Collaboration Suite Open-Source Editionissa.
SNI toimii kaikissa Zimbra OSE:n nykyisissä ja tuetuissa versioissa. Jos sinulla on Zimbra Open-Source käynnissä usean palvelimen infrastruktuurissa, sinun on suoritettava kaikki alla olevat vaiheet solmussa, johon on asennettu Zimbra-välityspalvelin. Lisäksi tarvitset vastaavat varmenne+avainparit sekä luotettavat varmenneketjut CA:lta jokaiselle verkkotunnukselle, jota haluat isännöidä IPv4-osoitteessasi. Huomaa, että suurin osa virheistä SNI:tä määritettäessä Zimbra OSE:ssa on juuri virheelliset tiedostot sertifikaateilla. Siksi suosittelemme tarkistamaan kaikki huolellisesti ennen niiden asentamista suoraan.
Ensinnäkin, jotta SNI toimisi normaalisti, sinun on syötettävä komento zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra-välityspalvelinsolmussa ja käynnistä sitten välityspalvelin uudelleen komennolla zmproxyctl käynnistyy uudelleen.
Aloitamme luomalla verkkotunnuksen. Otamme esimerkiksi verkkotunnuksen company.ru ja kun verkkotunnus on jo luotu, päätämme Zimbran virtuaalisen isäntänimen ja virtuaalisen IP-osoitteen. Huomaa, että Zimbran virtuaalisen isäntänimen on vastattava nimeä, joka käyttäjän on syötettävä selaimeen päästäkseen verkkotunnukseen, ja vastattava myös varmenteessa määritettyä nimeä. Otetaan esimerkiksi Zimbra virtuaalisen isäntänimeksi mail.company.ru, ja virtuaalisena IPv4-osoitteena käytämme osoitetta 1.2.3.4.
Kirjoita tämän jälkeen komento zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra-virtuaalipalvelimen sitomiseksi virtuaaliseen IP-osoitteeseen. Huomaa, että jos palvelin sijaitsee NAT:n tai palomuurin takana, sinun on varmistettava, että kaikki pyynnöt toimialueelle menevät siihen liittyvään ulkoiseen IP-osoitteeseen, eivät sen osoitteeseen paikallisessa verkossa.
Kun kaikki on tehty, jäljellä on vain tarkistaa ja valmistella toimialueen varmenteet asennusta varten ja asentaa ne.
Jos verkkotunnuksen varmenteen myöntäminen on suoritettu oikein, sinulla pitäisi olla kolme tiedostoa varmenteineen: kaksi niistä on varmenneviranomaisen varmenneketjuja ja yksi verkkotunnuksen suora varmenne. Lisäksi sinulla on oltava tiedosto avaimella, jota käytit varmenteen hankkimiseen. Luo erillinen kansio /tmp/company.ru ja sijoita kaikki käytettävissä olevat tiedostot avaimineen ja varmenteineen sinne. Lopputuloksen pitäisi olla jotain tämän kaltaista:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtTämän jälkeen yhdistämme varmenneketjut yhdeksi tiedostoksi komennolla kissan yritys.ru.root.crt yritys.ru.intermediate.crt >> yritys.ru_ca.crt ja varmista komennolla, että kaikki on kunnossa varmenteiden kanssa /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Kun varmenteet ja avaimet on tarkistettu, voit aloittaa niiden asennuksen.
Asennuksen aloittamiseksi yhdistämme ensin verkkotunnuksen varmenteen ja varmentajan luotetut ketjut yhdeksi tiedostoksi. Tämä voidaan tehdä myös yhdellä komennolla kuten cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Tämän jälkeen sinun on suoritettava komento kirjoittaaksesi kaikki varmenteet ja avain LDAP:hen: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyja asenna sitten varmenteet komennolla /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Asennuksen jälkeen varmenteet ja company.ru-verkkotunnuksen avain tallennetaan kansioon /opt/zimbra/conf/domaincerts/company.ru.
Toistamalla nämä vaiheet käyttämällä eri verkkotunnuksia, mutta samaa IP-osoitetta, on mahdollista isännöidä useita satoja toimialueita yhdessä IPv4-osoitteessa. Tässä tapauksessa voit käyttää useiden myöntämiskeskusten varmenteita ilman ongelmia. Voit tarkistaa kaikkien suoritettujen toimien oikeellisuuden missä tahansa selaimessa, jossa jokaisen virtuaalisen isäntänimen tulee näyttää oma SSL-sertifikaattinsa.
Kaikissa Zextras Suiteen liittyvissä kysymyksissä voit ottaa yhteyttä Zextrasin edustajaan Ekaterina Triandafilidiin sähköpostitse [sähköposti suojattu]
Lähde: will.com