A 21. század elején egy olyan erőforrás, mint az IPv4-címek, a kimerülés szélén áll. Az IANA még 2011-ben kiosztotta címterületének utolsó öt /8-as blokkját a regionális internetes regisztrátoroknak, és már 2017-ben kifogytak a címekből. Az IPv4-címek katasztrofális hiányára nemcsak az IPv6-protokoll megjelenése adott választ, hanem az SNI-technológia is, amely lehetővé tette, hogy egyetlen IPv4-címen hatalmas számú webhelyet tároljunk. Az SNI lényege, hogy ez a kiterjesztés lehetővé teszi az ügyfelek számára, hogy a kézfogási folyamat során közöljék a szerverrel annak a webhelynek a nevét, amelyhez csatlakozni kíván. Ez lehetővé teszi a szerver számára, hogy több tanúsítványt tároljon, ami azt jelenti, hogy egy IP-címen több tartomány is működhet. Az SNI technológia különösen népszerűvé vált az üzleti SaaS szolgáltatók körében, akiknek lehetőségük van szinte korlátlan számú domain fogadására, függetlenül az ehhez szükséges IPv4-címek számától. Nézzük meg, hogyan valósíthatja meg az SNI-támogatást a Zimbra Collaboration Suite nyílt forráskódú kiadásában.
Az SNI a Zimbra OSE összes jelenlegi és támogatott verziójában működik. Ha a Zimbra nyílt forráskódú többkiszolgálós infrastruktúrán fut, akkor az alábbi lépéseket egy olyan csomóponton kell végrehajtania, amelyen a Zimbra Proxy szerver telepítve van. Ezenkívül szüksége lesz egyező tanúsítvány+kulcs párokra, valamint megbízható tanúsítványláncokra a CA-tól minden olyan domainhez, amelyet IPv4-címén szeretne tárolni. Kérjük, vegye figyelembe, hogy a Zimbra OSE rendszerben az SNI beállításakor fellépő hibák túlnyomó többségének oka pontosan a tanúsítványokkal ellátott helytelen fájlok. Ezért azt tanácsoljuk, hogy gondosan ellenőrizzen mindent, mielőtt közvetlenül telepíti őket.
Először is, ahhoz, hogy az SNI normálisan működjön, be kell írnia a parancsot zmprov mcf zimbraReverseProxySNIEEnabled TRUE a Zimbra proxy csomóponton, majd indítsa újra a Proxy szolgáltatást a paranccsal zmproxyctl újraindítás.
Kezdjük egy domain név létrehozásával. Például a domaint vesszük company.ru és a domain létrehozása után döntünk a Zimbra virtuális gazdagép nevéről és a virtuális IP címről. Felhívjuk figyelmét, hogy a Zimbra virtuális gazdagép nevének meg kell egyeznie azzal a névvel, amelyet a felhasználónak a böngészőben be kell írnia a domain eléréséhez, és egyeznie kell a tanúsítványban megadott névvel is. Vegyük például a Zimbra-t virtuális gazdagépnévként mail.company.ruvirtuális IPv4-címként pedig a címet használjuk 1.2.3.4.
Ezt követően csak írja be a parancsot zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4hogy a Zimbra virtuális gazdagépet virtuális IP-címhez kössük. Kérjük, vegye figyelembe, hogy ha a szerver NAT vagy tűzfal mögött található, gondoskodnia kell arról, hogy a tartományhoz intézett összes kérés a hozzá tartozó külső IP-címre érkezzen, és ne a helyi hálózaton lévő címére.
Miután minden megtörtént, nincs más hátra, mint ellenőrizni és előkészíteni a tartománytanúsítványokat a telepítéshez, majd telepíteni őket.
Ha a tartománytanúsítvány kiadása megfelelően megtörtént, három fájlnak kell lennie a tanúsítványokkal: ezek közül kettő a hitelesítésszolgáltatótól származó tanúsítványlánc, egy pedig a tartomány közvetlen tanúsítványa. Ezenkívül rendelkeznie kell egy fájllal a tanúsítvány megszerzéséhez használt kulccsal. Hozzon létre egy külön mappát /tmp/company.ru és helyezze el az összes meglévő fájlt kulcsokkal és tanúsítványokkal. A végeredmény valami ilyesmi legyen:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtEzt követően a paranccsal egy fájlba egyesítjük a tanúsítványláncokat cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt és a parancs segítségével győződjön meg arról, hogy minden rendben van a tanúsítványokkal /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. A tanúsítványok és a kulcs sikeres ellenőrzése után megkezdheti a telepítésüket.
A telepítés megkezdéséhez először egy fájlba egyesítjük a tartománytanúsítványt és a hitelesítésszolgáltatók megbízható láncait. Ez egy paranccsal is megtehető, mint pl cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Ezt követően le kell futtatnia a parancsot, hogy az összes tanúsítványt és a kulcsot beírhassa az LDAP-ba: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keymajd telepítse a tanúsítványokat a paranccsal /opt/zimbra/libexec/zmdomaincertmgr deploycrts. A telepítés után a tanúsítványok és a company.ru domain kulcsa a mappában tárolódnak /opt/zimbra/conf/domaincerts/company.ru.
Ha ezeket a lépéseket különböző tartománynevekkel, de ugyanazzal az IP-címmel megismételjük, több száz tartományt lehet tárolni egyetlen IPv4-címen. Ebben az esetben probléma nélkül használhatja a különféle kibocsátó központok tanúsítványait. Bármely böngészőben ellenőrizheti az összes végrehajtott művelet helyességét, ahol minden virtuális hosztnévnek saját SSL-tanúsítványt kell megjelenítenie.
A Zextras Suite szolgáltatással kapcsolatos minden kérdésével forduljon a Zextras képviselőjéhez, Ekaterina Triandafilidihez e-mailben. [e-mail védett]
Forrás: will.com