21-րդ դարի սկզբին այնպիսի ռեսուրս, ինչպիսին է IPv4 հասցեները, սպառման եզրին է: Դեռ 2011 թվականին IANA-ն իր հասցեային տարածքի վերջին հինգ մնացած /8 բլոկը հատկացրեց տարածաշրջանային ինտերնետ գրանցողներին, իսկ արդեն 2017 թվականին նրանց հասցեները սպառվեցին։ IPv4 հասցեների աղետալի պակասի պատասխանը ոչ միայն IPv6 արձանագրության ի հայտ գալն էր, այլ նաև SNI տեխնոլոգիան, որը հնարավորություն տվեց հյուրընկալել հսկայական թվով կայքեր մեկ IPv4 հասցեով: SNI-ի էությունն այն է, որ այս ընդլայնումը թույլ է տալիս հաճախորդներին ձեռքսեղմման գործընթացի ընթացքում սերվերին ասել այն կայքի անունը, որի հետ նա ցանկանում է կապվել: Սա թույլ է տալիս սերվերին պահել բազմաթիվ վկայագրեր, ինչը նշանակում է, որ մի քանի տիրույթներ կարող են գործել մեկ IP հասցեով: SNI տեխնոլոգիան հատկապես հայտնի է դարձել բիզնեսի SaaS պրովայդերների շրջանում, որոնք հնարավորություն ունեն հյուրընկալելու գրեթե անսահմանափակ թվով տիրույթներ՝ հաշվի չառնելով դրա համար պահանջվող IPv4 հասցեների քանակը: Եկեք պարզենք, թե ինչպես կարող եք իրականացնել SNI աջակցությունը Zimbra Collaboration Suite Open-Source Edition-ում:
SNI-ն աշխատում է Zimbra OSE-ի բոլոր ընթացիկ և աջակցվող տարբերակներում: Եթե ունեք Zimbra Open-Source-ն աշխատում է բազմասերվերային ենթակառուցվածքի վրա, ապա ձեզ հարկավոր է կատարել ստորև նշված բոլոր քայլերը մի հանգույցում, որտեղ տեղադրված է Zimbra Proxy սերվերը: Բացի այդ, ձեզ անհրաժեշտ կլինեն համապատասխան վկայական+բանալի զույգեր, ինչպես նաև վստահելի վկայականների շղթաներ ձեր CA-ից յուրաքանչյուր տիրույթի համար, որը ցանկանում եք հյուրընկալել ձեր IPv4 հասցեում: Խնդրում ենք նկատի ունենալ, որ Zimbra OSE-ում SNI-ի ստեղծման ժամանակ սխալների ճնշող մեծամասնության պատճառը հենց հավաստագրերով սխալ ֆայլերն են: Հետեւաբար, խորհուրդ ենք տալիս ուշադիր ստուգել ամեն ինչ, նախքան դրանք ուղղակիորեն տեղադրելը:
Նախ, որպեսզի SNI-ն նորմալ աշխատի, պետք է մուտքագրել հրամանը zmprov mcf zimbraReverseProxySNIEenabled TRUE Zimbra պրոքսի հանգույցում, այնուհետև վերագործարկեք Proxy ծառայությունը՝ օգտագործելով հրամանը zmproxyctl վերագործարկում.
Մենք կսկսենք ստեղծելով տիրույթի անուն: Օրինակ՝ մենք կվերցնենք տիրույթը company.ru և տիրույթն արդեն ստեղծվելուց հետո մենք կորոշենք Zimbra վիրտուալ հոսթի անունը և վիրտուալ IP հասցեն: Խնդրում ենք նկատի ունենալ, որ Zimbra վիրտուալ հոսթի անունը պետք է համապատասխանի անվանը, որը օգտվողը պետք է մուտքագրի բրաուզերում տիրույթ մուտք գործելու համար, ինչպես նաև համապատասխանի վկայագրում նշված անվանմանը: Օրինակ, եկեք վերցնենք Zimbra-ն որպես վիրտուալ հաղորդավարի անուն mail.company.ru, և որպես վիրտուալ IPv4 հասցե մենք օգտագործում ենք հասցեն 1.2.3.4.
Դրանից հետո պարզապես մուտքագրեք հրամանը zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAհասցե 1.2.3.4Zimbra վիրտուալ հոսթին կապելու համար վիրտուալ IP հասցեին: Խնդրում ենք նկատի ունենալ, որ եթե սերվերը գտնվում է NAT-ի կամ firewall-ի հետևում, դուք պետք է համոզվեք, որ տիրույթի բոլոր հարցումները գնում են դրա հետ կապված արտաքին IP հասցեին, և ոչ թե տեղական ցանցի հասցեին:
Ամեն ինչ ավարտվելուց հետո մնում է միայն ստուգել և պատրաստել դոմենի վկայականները տեղադրման համար, այնուհետև տեղադրել դրանք:
Եթե տիրույթի վկայագրի տրամադրումը ճիշտ է ավարտվել, դուք պետք է ունենաք վկայականներով երեք ֆայլ. դրանցից երկուսը վկայագրերի շղթաներ են ձեր սերտիֆիկացման մարմնից, իսկ մեկը՝ ուղղակի վկայական տիրույթի համար: Բացի այդ, դուք պետք է ունենաք ֆայլ այն բանալիով, որն օգտագործել եք վկայագիրը ստանալու համար: Ստեղծեք առանձին թղթապանակ /tmp/company.ru և այնտեղ տեղադրեք բանալիներով և վկայագրերով բոլոր հասանելի ֆայլերը: Վերջնական արդյունքը պետք է լինի այսպիսին.
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtԴրանից հետո մենք կհամատեղենք վկայականների շղթաները մեկ ֆայլի մեջ՝ օգտագործելով հրամանը cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt և համոզվեք, որ ամեն ինչ կարգին է վկայագրերի հետ՝ օգտագործելով հրամանը /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Վկայականների և բանալիների ստուգումը հաջողությամբ ավարտվելուց հետո կարող եք սկսել դրանք տեղադրել:
Տեղադրումը սկսելու համար մենք նախ կմիավորենք տիրույթի վկայականը և հավաստագրման մարմինների վստահելի շղթաները մեկ ֆայլի մեջ: Դա կարելի է անել նաև մեկ հրամանի միջոցով, ինչպիսին է cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Դրանից հետո դուք պետք է գործարկեք հրամանը, որպեսզի գրեք բոլոր վկայագրերը և LDAP-ի բանալին. /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyև այնուհետև տեղադրեք վկայագրերը հրամանի միջոցով /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Տեղադրվելուց հետո թղթապանակում կպահվեն հավաստագրերը և company.ru տիրույթի բանալին /opt/zimbra/conf/domaincerts/company.ru.
Կրկնելով այս քայլերը՝ օգտագործելով տարբեր տիրույթի անուններ, բայց նույն IP հասցեն, հնարավոր է մի քանի հարյուր տիրույթներ տեղակայել մեկ IPv4 հասցեում: Այս դեպքում դուք կարող եք առանց որևէ խնդրի օգտագործել տարբեր թողարկող կենտրոնների վկայականները: Դուք կարող եք ստուգել ցանկացած բրաուզերում կատարված բոլոր գործողությունների ճիշտությունը, որտեղ յուրաքանչյուր վիրտուալ հոսթի անուն պետք է ցուցադրի իր SSL վկայագիրը:
Zextras Suite-ի հետ կապված բոլոր հարցերի համար կարող եք կապվել Zextras-ի ներկայացուցիչ Եկատերինա Տրիանդաֆիլիդիի հետ էլ. [էլեկտրոնային փոստով պաշտպանված]
Source: www.habr.com