A principios do século XXI, un recurso como os enderezos IPv21 está a piques de esgotarse. Xa en 4, a IANA asignou os últimos cinco bloques /2011 restantes do seu espazo de enderezos aos rexistradores rexionais de Internet, e xa en 8 quedaron sen enderezos. A resposta á catastrófica escaseza de enderezos IPv2017 non foi só a aparición do protocolo IPv4, senón tamén a tecnoloxía SNI, que permitiu albergar un gran número de sitios web nun único enderezo IPv6. A esencia de SNI é que esta extensión permite aos clientes, durante o proceso de apretón de mans, dicirlle ao servidor o nome do sitio co que se quere conectar. Isto permite que o servidor almacene varios certificados, o que significa que varios dominios poden operar nun enderezo IP. A tecnoloxía SNI fíxose especialmente popular entre os provedores de SaaS empresariais, que teñen a oportunidade de aloxar un número case ilimitado de dominios sen ter en conta o número de enderezos IPv4 necesarios para iso. Descubramos como pode implementar a compatibilidade con SNI en Zimbra Collaboration Suite Open-Source Edition.
SNI funciona en todas as versións actuais e compatibles de Zimbra OSE. Se tes Zimbra Open-Source en execución nunha infraestrutura multiservidor, terás que realizar todos os pasos seguintes nun nodo co servidor proxy Zimbra instalado. Ademais, necesitarás pares de certificado+chave coincidentes, así como cadeas de certificados de confianza da túa CA para cada un dos dominios que queres aloxar no teu enderezo IPv4. Teña en conta que a causa da gran maioría dos erros ao configurar SNI en Zimbra OSE son precisamente ficheiros incorrectos con certificados. Polo tanto, recomendámosche que comprobes todo coidadosamente antes de instalalos directamente.
En primeiro lugar, para que SNI funcione normalmente, cómpre introducir o comando zmprov mcf zimbraReverseProxySNIEnabled TRUE no nodo proxy de Zimbra e, a continuación, reinicie o servizo proxy usando o comando reiniciar zmproxyctl.
Comezaremos creando un nome de dominio. Por exemplo, tomaremos o dominio empresa.ru e, despois de que o dominio xa foi creado, decidiremos o nome de host virtual de Zimbra e o enderezo IP virtual. Teña en conta que o nome de host virtual de Zimbra debe coincidir co nome que o usuario debe introducir no navegador para acceder ao dominio, e tamén debe coincidir co nome especificado no certificado. Por exemplo, tomemos Zimbra como nome de host virtual mail.company.ru, e como enderezo IPv4 virtual utilizamos o enderezo 1.2.3.4.
Despois diso, só tes que introducir o comando zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4para vincular o host virtual de Zimbra a un enderezo IP virtual. Teña en conta que se o servidor está situado detrás dun NAT ou firewall, debe asegurarse de que todas as solicitudes ao dominio van ao enderezo IP externo asociado a el, e non ao seu enderezo na rede local.
Despois de todo feito, só queda comprobar e preparar os certificados de dominio para a súa instalación e, a continuación, instalalos.
Se a emisión dun certificado de dominio completouse correctamente, deberías ter tres ficheiros con certificados: dous deles son cadeas de certificados da túa autoridade de certificación e un é un certificado directo para o dominio. Ademais, debes ter un ficheiro coa clave que utilizaches para obter o certificado. Crea un cartafol separado /tmp/company.ru e coloque alí todos os ficheiros dispoñibles con claves e certificados. O resultado final debería ser algo así:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDespois diso, combinaremos as cadeas de certificados nun ficheiro usando o comando cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt e asegúrate de que todo estea en orde cos certificados usando o comando /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Despois de que a verificación dos certificados e da chave teña éxito, pode comezar a instalalos.
Para comezar a instalación, primeiro combinaremos o certificado de dominio e as cadeas de confianza das autoridades de certificación nun ficheiro. Isto tamén se pode facer usando un comando como cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Despois diso, cómpre executar o comando para escribir todos os certificados e a clave para LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keye despois instale os certificados usando o comando /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Despois da instalación, os certificados e a clave do dominio company.ru almacenaranse no cartafol /opt/zimbra/conf/domaincerts/company.ru.
Ao repetir estes pasos usando diferentes nomes de dominio pero o mesmo enderezo IP, é posible aloxar varios centos de dominios nun único enderezo IPv4. Neste caso, pode utilizar certificados de diversos centros emisores sen ningún problema. Pode comprobar a corrección de todas as accións realizadas en calquera navegador, onde cada nome de host virtual debería mostrar o seu propio certificado SSL.
Para todas as preguntas relacionadas con Zextras Suite, pode poñerse en contacto coa representante de Zextras Ekaterina Triandafilidi por correo electrónico [protexido por correo electrónico]
Fonte: www.habr.com