Na početku 21. stoljeća resurs kao što su IPv4 adrese je na rubu iscrpljenosti. IANA je još 2011. dodijelila zadnjih pet preostalih /8 blokova svog adresnog prostora regionalnim internetskim registrima, a već 2017. ostali su bez adresa. Odgovor na katastrofalnu nestašicu IPv4 adresa nije bila samo pojava IPv6 protokola, već i SNI tehnologije, koja je omogućila ugošćavanje ogromnog broja web stranica na jednoj IPv4 adresi. Bit SNI-a je da ovo proširenje omogućuje klijentima, tijekom procesa rukovanja, da kažu poslužitelju naziv stranice s kojom se želi povezati. To omogućuje poslužitelju pohranu višestrukih certifikata, što znači da više domena može raditi na jednoj IP adresi. SNI tehnologija postala je posebno popularna među poslovnim SaaS pružateljima usluga, koji imaju priliku ugostiti gotovo neograničen broj domena bez obzira na broj IPv4 adresa potrebnih za to. Hajdemo saznati kako možete implementirati SNI podršku u Zimbra Collaboration Suite Open-Source Edition.
SNI radi u svim trenutnim i podržanim verzijama Zimbra OSE. Ako imate Zimbra Open-Source koji radi na infrastrukturi s više poslužitelja, morat ćete izvršiti sve korake u nastavku na čvoru s instaliranim Zimbra Proxy poslužiteljem. Osim toga, trebat će vam odgovarajući parovi certifikat+ključ, kao i pouzdani lanci certifikata od vašeg CA za svaku od domena koje želite ugostiti na svojoj IPv4 adresi. Imajte na umu da su uzrok velike većine grešaka prilikom postavljanja SNI-a u Zimbra OSE upravo netočne datoteke s certifikatima. Stoga vam savjetujemo da pažljivo provjerite sve prije nego što ih izravno instalirate.
Prije svega, da bi SNI normalno radio, morate unijeti naredbu zmprov mcf zimbraReverseProxySNIEnabled TRUE na proxy čvoru Zimbra, a zatim ponovno pokrenite proxy uslugu pomoću naredbe zmproxyctl ponovno pokretanje.
Počet ćemo stvaranjem naziva domene. Za primjer uzet ćemo domenu tvrtka.ru i nakon što je domena već kreirana, odlučit ćemo o Zimbra virtualnom host imenu i virtualnoj IP adresi. Imajte na umu da ime Zimbra virtualnog hosta mora odgovarati imenu koje korisnik mora unijeti u preglednik za pristup domeni, kao i nazivu navedenom u certifikatu. Na primjer, uzmimo Zimbru kao ime virtualnog računala mail.company.ru, a kao virtualnu IPv4 adresu koristimo adresu 1.2.3.4.
Nakon toga samo unesite naredbu zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4za vezanje Zimbra virtualnog hosta na virtualnu IP adresu. Imajte na umu da ako se poslužitelj nalazi iza NAT-a ili vatrozida, morate osigurati da svi zahtjevi prema domeni idu na vanjsku IP adresu koja je s njim povezana, a ne na njegovu adresu na lokalnoj mreži.
Nakon što je sve gotovo, preostaje samo provjeriti i pripremiti domenske certifikate za instalaciju te ih potom instalirati.
Ako je izdavanje certifikata domene ispravno završeno, trebali biste imati tri datoteke s certifikatima: dvije su lanci certifikata vašeg certifikacijskog tijela, a jedna je izravni certifikat za domenu. Osim toga, morate imati datoteku s ključem koji ste koristili za dobivanje certifikata. Napravite zasebnu mapu /tmp/company.ru i tamo smjestite sve dostupne datoteke s ključevima i certifikatima. Konačni rezultat trebao bi biti nešto poput ovoga:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtNakon toga, spojit ćemo lance certifikata u jednu datoteku pomoću naredbe cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt i provjerite da li je sve u redu s certifikatima pomoću naredbe /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nakon što je provjera certifikata i ključa uspješna, možete započeti njihovu instalaciju.
Kako bismo započeli instalaciju, najprije ćemo spojiti certifikat domene i pouzdane lance od certifikacijskih tijela u jednu datoteku. To se također može učiniti pomoću jedne naredbe poput cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Nakon toga trebate pokrenuti naredbu kako biste upisali sve certifikate i ključ u LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keya zatim instalirajte certifikate pomoću naredbe /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Nakon instalacije, certifikati i ključ domene company.ru bit će pohranjeni u mapi /opt/zimbra/conf/domaincerts/company.ru.
Ponavljanjem ovih koraka koristeći različite nazive domena, ali istu IP adresu, moguće je ugostiti nekoliko stotina domena na jednoj IPv4 adresi. U tom slučaju možete bez ikakvih problema koristiti potvrde iz raznih centara za izdavanje. Možete provjeriti ispravnost svih radnji koje se izvode u bilo kojem pregledniku, gdje bi svaki naziv virtualnog računala trebao prikazati vlastiti SSL certifikat.
Za sva pitanja vezana uz Zextras Suite možete kontaktirati predstavnicu Zextrasa Ekaterinu Triandafilidi putem e-maila [e-pošta zaštićena]
Izvor: www.habr.com