Oan it begjin fan 'e 21e ieu is in boarne lykas IPv4-adressen op' e râne fan útputting. Werom yn 2011, IANA tawiisd de lêste fiif oerbleaune /8 blokken fan syn adres romte oan regionale ynternet registrars, en al yn 2017 se rûnen út adressen. It antwurd op it katastrofale tekoart oan IPv4-adressen wie net allinich it ûntstean fan it IPv6-protokol, mar ek de SNI-technology, dy't it mooglik makke om in grut oantal websiden op ien IPv4-adres te hostjen. De essinsje fan SNI is dat dizze tafoeging kliïnten, tidens it handshakeproses, de tsjinner de namme fan 'e side kinne fertelle wêrmei't it ferbine wol. Hjirmei kin de tsjinner meardere sertifikaten opslaan, wat betsjut dat meardere domeinen op ien IP-adres operearje kinne. SNI-technology is benammen populêr wurden ûnder saaklike SaaS-oanbieders, dy't de kâns hawwe om in hast ûnbeheind oantal domeinen te hostjen sûnder rekken te hâlden mei it oantal IPv4-adressen dat hjirfoar nedich is. Litte wy útfine hoe't jo SNI-stipe kinne ymplementearje yn Zimbra Collaboration Suite Open-Source Edition.
SNI wurket yn alle aktuele en stipe ferzjes fan Zimbra OSE. As jo Zimbra Open-Source hawwe dy't draait op in multi-server-ynfrastruktuer, moatte jo alle stappen hjirûnder útfiere op in knooppunt mei de Zimbra Proxy-tsjinner ynstalleare. Derneist sille jo oerienkommende sertifikaat+kaaipearen nedich wêze, lykas fertroude sertifikaatkeatlingen fan jo CA foar elk fan 'e domeinen dy't jo wolle hostje op jo IPv4-adres. Tink derom dat de oarsaak fan 'e grutte mearderheid fan flaters by it ynstellen fan SNI yn Zimbra OSE krekt ferkearde triemmen mei sertifikaten is. Dêrom advisearje wy jo om alles foarsichtich te kontrolearjen foardat se direkt ynstalleare.
Earst fan alles, om SNI normaal te wurkjen, moatte jo it kommando ynfiere zmprov mcf zimbraReverseProxySNIEnabled TRUE op de Zimbra proxy knooppunt, en start dan de Proxy tsjinst op 'e nij mei it kommando zmproxyctl opnij starte.
Wy sille begjinne mei it meitsjen fan in domeinnamme. Wy sille bygelyks it domein nimme company.ru en, neidat it domein is al oanmakke, wy sille beslute oer de Zimbra firtuele host namme en firtuele IP adres. Tink derom dat de Zimbra firtuele hostnamme moat oerienkomme mei de namme dy't de brûker moat ynfiere yn 'e blêder om tagong te krijen ta it domein, en ek oerienkomme mei de namme spesifisearre yn it sertifikaat. Litte wy bygelyks Zimbra nimme as de firtuele hostnamme mail.company.ru, en as firtuele IPv4-adres brûke wy it adres 1.2.3.4.
Fier hjirnei gewoan it kommando yn zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4om de Zimbra firtuele host te binen oan in firtuele IP-adres. Tink derom dat as de tsjinner efter in NAT of firewall leit, jo moatte soargje dat alle oanfragen nei it domein gean nei it eksterne IP-adres dat dêrmei ferbûn is, en net nei it adres op it lokale netwurk.
Nei't alles dien is, bliuwt alles oer om de domeinsertifikaten te kontrolearjen en ta te rieden foar ynstallaasje, en dan ynstallearje.
As de útjefte fan in domeinsertifikaat goed is foltôge, moatte jo trije bestannen hawwe mei sertifikaten: twa fan harren binne keatlingen fan sertifikaten fan jo sertifisearingsautoriteit, en ien is in direkte sertifikaat foar it domein. Derneist moatte jo in bestân hawwe mei de kaai dy't jo hawwe brûkt om it sertifikaat te krijen. Meitsje in aparte map /tmp/company.ru en pleatse dêr alle besteande triemmen mei kaaien en sertifikaten. It einresultaat moat sa'n ding wêze:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtHjirnei sille wy de sertifikaatketen kombinearje yn ien bestân mei it kommando cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt en soargje derfoar dat alles yn oarder is mei de sertifikaten mei it kommando /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nei't de ferifikaasje fan 'e sertifikaten en kaai suksesfol is, kinne jo begjinne te ynstallearjen.
Om de ynstallaasje te begjinnen, sille wy earst it domeinsertifikaat en fertroude keatlingen fan sertifikaasjeautoriteiten kombinearje yn ien bestân. Dit kin ek dien wurde mei ien kommando lykas cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Hjirnei moatte jo it kommando útfiere om alle sertifikaten en de kaai nei LDAP te skriuwen: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyen ynstallearje dan de sertifikaten mei it kommando /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Nei ynstallaasje wurde de sertifikaten en de kaai foar it domein company.ru opslein yn 'e map /opt/zimbra/conf/domaincerts/company.ru.
Troch dizze stappen te werheljen mei ferskate domeinnammen, mar itselde IP-adres, is it mooglik om ferskate hûnderten domeinen op ien IPv4-adres te hostjen. Yn dit gefal kinne jo sûnder problemen sertifikaten brûke fan in ferskaat oan útjeftesintra. Jo kinne de krektens kontrolearje fan alle aksjes útfierd yn elke browser, wêr't elke firtuele hostnamme syn eigen SSL-sertifikaat moat werjaan.
Foar alle fragen yn ferbân mei Zextras Suite kinne jo kontakt opnimme mei de fertsjintwurdiger fan Zextras Ekaterina Triandafilidi fia e-post [e-post beskerme]
Boarne: www.habr.com