Nan kòmansman 21yèm syèk la, yon resous tankou adrès IPv4 se sou wout pou l fatige. Retounen nan 2011, IANA te asiyen senk dènye blòk / 8 ki rete nan espas adrès li yo bay rjistrèr Entènèt rejyonal yo, e deja nan 2017 yo te manke adrès. Repons lan nan mank de katastwòf adrès IPv4 se pa sèlman Aparisyon pwotokòl IPv6 la, men tou, teknoloji SNI a, ki te fè li posib òganize yon nimewo gwo sit entènèt sou yon sèl adrès IPv4. Sans nan SNI se ke ekstansyon sa a pèmèt kliyan yo, pandan pwosesis la lanmen, di sèvè a non an nan sit la ak ki li vle konekte. Sa a pèmèt sèvè a estoke sètifika miltip, ki vle di ke domèn miltip ka opere sou yon adrès IP. Teknoloji SNI te vin espesyalman popilè nan mitan founisè biznis SaaS, ki gen opòtinite pou òganize yon kantite prèske san limit nan domèn san yo pa konsidere kantite adrès IPv4 ki nesesè pou sa. Ann chèche konnen ki jan ou ka aplike sipò SNI nan Zimbra Collaboration Suite Open-Source Edition.
SNI travay nan tout vèsyon aktyèl ak sipòte nan Zimbra OSE. Si ou gen Zimbra Open-Source kouri sou yon enfrastrikti plizyè sèvè, w ap bezwen fè tout etap ki anba yo sou yon ne ak sèvè Zimbra Proxy enstale. Anplis de sa, w ap bezwen matche sètifika + pè kle, osi byen ke chèn sètifika ou fè konfyans nan CA ou a pou chak nan domèn yo ou vle òganize sou adrès IPv4 ou. Tanpri sonje ke kòz la nan vas majorite nan erè lè w mete SNI nan Zimbra OSE se jisteman dosye kòrèk ak sètifika. Se poutèt sa, nou konseye w ak anpil atansyon tcheke tout bagay anvan enstale yo dirèkteman.
Premye a tout, nan lòd pou SNI travay nòmalman, ou bezwen antre nan lòd la zmprov mcf zimbraReverseProxySNIEnabled VRE sou ne prokurasyon Zimbra, ak Lè sa a, rekòmanse sèvis la Proxy lè l sèvi avèk lòd la zmproxyctl rekòmanse.
Nou pral kòmanse pa kreye yon non domèn. Pou egzanp, nou pral pran domèn nan company.ru epi, apre yo fin kreye domèn nan, nou pral deside sou non lame vityèl Zimbra ak adrès IP vityèl. Tanpri sonje ke non lame vityèl Zimbra dwe matche ak non itilizatè a dwe antre nan navigatè a pou jwenn aksè nan domèn nan, epi tou matche ak non ki espesifye nan sètifika a. Pou egzanp, ann pran Zimbra kòm non lame vityèl la mail.company.ru, epi kòm yon adrès IPv4 vityèl nou itilize adrès la 1.2.3.4.
Apre sa, jis antre lòd la zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4mare lame vityèl Zimbra a nan yon adrès IP vityèl. Tanpri sonje ke si sèvè a sitiye dèyè yon NAT oswa firewall, ou dwe asire ke tout demann nan domèn nan ale nan adrès IP ekstèn ki asosye ak li, epi yo pa nan adrès li sou rezo lokal la.
Apre tout bagay fin fèt, tout sa ki rete se tcheke ak prepare sètifika domèn yo pou enstalasyon, ak Lè sa a, enstale yo.
Si emisyon an nan yon sètifika domèn te konplete kòrèkteman, ou ta dwe gen twa dosye ki gen sètifika: de nan yo se chèn sètifika nan men otorite sètifikasyon ou, ak youn se yon sètifika dirèk pou domèn nan. Anplis de sa, ou dwe gen yon dosye ki gen kle ou te itilize pou jwenn sètifika a. Kreye yon katab separe /tmp/company.ru epi mete tout dosye ki deja egziste ak kle ak sètifika la. Rezilta final la ta dwe yon bagay tankou sa a:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtApre sa, nou pral konbine chèn sètifika yo nan yon sèl dosye lè l sèvi avèk lòd la chat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt epi asire w ke tout bagay anfòm ak sètifika yo lè l sèvi avèk lòd la /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Apre verifikasyon sètifika yo ak kle yo reyisi, ou ka kòmanse enstale yo.
Pou kòmanse enstalasyon an, nou pral premye konbine sètifika domèn ak chèn ou fè konfyans nan otorite sètifikasyon yo nan yon sèl dosye. Sa a kapab tou fè lè l sèvi avèk yon sèl kòmand tankou chat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Apre sa, ou bezwen kouri lòd la yo nan lòd yo ekri tout sètifika yo ak kle nan LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyak Lè sa a, enstale sètifika yo lè l sèvi avèk lòd la /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Apre enstalasyon, sètifika yo ak kle nan domèn company.ru yo pral estoke nan katab la /opt/zimbra/conf/domaincerts/company.ru.
Lè w repete etap sa yo lè l sèvi avèk diferan non domèn men menm adrès IP, li posib pou òganize plizyè santèn domèn sou yon sèl adrès IPv4. Nan ka sa a, ou ka itilize sètifika ki soti nan yon varyete sant founi dokiman yo san okenn pwoblèm. Ou ka tcheke kòrèkteman tout aksyon ki fèt nan nenpòt navigatè, kote chak non lame vityèl ta dwe montre pwòp sètifika SSL li yo.
Pou tout kesyon ki gen rapò ak Zextras Suite, ou ka kontakte Reprezantan Zextras Ekaterina Triandafilidi pa imel. [imèl pwoteje]
Sous: www.habr.com