Au début du 21e siècle, une ressource telle que les adresses IPv4 est au bord de l’épuisement. En 2011, l'IANA a alloué les cinq derniers blocs /8 restants de son espace d'adressage aux bureaux d'enregistrement Internet régionaux, et déjà en 2017, ils ont manqué d'adresses. La réponse à la pénurie catastrophique d'adresses IPv4 n'a pas seulement été l'émergence du protocole IPv6, mais aussi de la technologie SNI, qui a permis d'héberger un grand nombre de sites Web sur une seule adresse IPv4. L'essence de SNI est que cette extension permet aux clients, lors du processus de prise de contact, d'indiquer au serveur le nom du site avec lequel il souhaite se connecter. Cela permet au serveur de stocker plusieurs certificats, ce qui signifie que plusieurs domaines peuvent fonctionner sur une seule adresse IP. La technologie SNI est devenue particulièrement populaire parmi les fournisseurs SaaS professionnels, qui ont la possibilité d'héberger un nombre presque illimité de domaines, quel que soit le nombre d'adresses IPv4 requises pour cela. Découvrons comment implémenter la prise en charge de SNI dans Zimbra Collaboration Suite Open-Source Edition.
SNI fonctionne dans toutes les versions actuelles et prises en charge de Zimbra OSE. Si Zimbra Open-Source s'exécute sur une infrastructure multi-serveurs, vous devrez effectuer toutes les étapes ci-dessous sur un nœud sur lequel le serveur proxy Zimbra est installé. De plus, vous aurez besoin de paires certificat + clé correspondantes, ainsi que de chaînes de certificats de confiance de votre autorité de certification pour chacun des domaines que vous souhaitez héberger sur votre adresse IPv4. Veuillez noter que la cause de la grande majorité des erreurs lors de la configuration de SNI dans Zimbra OSE réside précisément dans les fichiers incorrects avec les certificats. Nous vous conseillons donc de tout vérifier soigneusement avant de les installer directement.
Tout d'abord, pour que SNI fonctionne normalement, vous devez saisir la commande zmprov mcf zimbraReverseProxySNIEnabled TRUE sur le nœud proxy Zimbra, puis redémarrez le service proxy à l'aide de la commande redémarrage de zmproxyctl.
Nous allons commencer par créer un nom de domaine. Par exemple, nous prendrons le domaine entreprise.ru et, une fois le domaine créé, nous déciderons du nom d'hôte virtuel Zimbra et de l'adresse IP virtuelle. Veuillez noter que le nom d'hôte virtuel Zimbra doit correspondre au nom que l'utilisateur doit saisir dans le navigateur pour accéder au domaine, ainsi qu'au nom spécifié dans le certificat. Par exemple, prenons Zimbra comme nom d'hôte virtuel mail.company.ru, et comme adresse IPv4 virtuelle, nous utilisons l'adresse 1.2.3.4.
Après cela, entrez simplement la commande zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4lier l'hôte virtuel Zimbra à l'hôte virtuel adresse IPVeuillez noter que si le serveur se trouve derrière un NAT ou un pare-feu, vous devez vous assurer que toutes les requêtes adressées au domaine sont dirigées vers son adresse IP externe associée, et non vers son adresse réseau locale.
Une fois tout fait, il ne reste plus qu'à vérifier et préparer les certificats de domaine pour l'installation, puis à les installer.
Si la délivrance d'un certificat de domaine s'est déroulée correctement, vous devriez avoir trois fichiers avec des certificats : deux d'entre eux sont des chaînes de certificats de votre autorité de certification et un est un certificat direct pour le domaine. De plus, vous devez disposer d'un fichier avec la clé que vous avez utilisée pour obtenir le certificat. Créer un dossier séparé /tmp/company.ru et placez-y tous les fichiers existants avec les clés et les certificats. Le résultat final devrait ressembler à ceci :
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtAprès cela, nous combinerons les chaînes de certificats en un seul fichier à l'aide de la commande chat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt et assurez-vous que tout est en ordre avec les certificats à l'aide de la commande /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Une fois la vérification des certificats et de la clé réussie, vous pouvez commencer à les installer.
Afin de commencer l'installation, nous allons d'abord combiner le certificat de domaine et les chaînes de confiance des autorités de certification en un seul fichier. Cela peut également être fait en utilisant une commande comme chat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Après cela, vous devez exécuter la commande afin d'écrire tous les certificats et la clé dans LDAP : /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keypuis installez les certificats à l'aide de la commande /opt/zimbra/libexec/zmdomaincertmgr déployercrts. Après l'installation, les certificats et la clé du domaine company.ru seront stockés dans le dossier /opt/zimbra/conf/domaincerts/company.ru.
En répétant ces étapes avec différents noms de domaine mais la même adresse IP, vous pouvez héberger plusieurs centaines de domaines sur une seule adresse IPv4. Vous pouvez également utiliser des certificats de différentes autorités de certification sans problème. Vous pouvez vérifier que toutes les étapes ont été correctement effectuées dans n'importe quel navigateur : chaque nom d'hôte virtuel devrait afficher sa propre interface. Certificat SSL.
Pour toutes questions relatives à Zextras Suite, vous pouvez contacter la représentante de Zextras, Ekaterina Triandafilidi, par e-mail katerina@zextras.com
Source: habr.com
