Pada awal abad ke-21, sumber daya seperti alamat IPv4 hampir habis. Pada tahun 2011, IANA mengalokasikan lima blok /8 terakhir dari ruang alamatnya kepada pendaftar Internet regional, dan pada tahun 2017 mereka sudah kehabisan alamat. Jawaban atas kekurangan alamat IPv4 yang parah bukan hanya dengan munculnya protokol IPv6, namun juga teknologi SNI, yang memungkinkan untuk meng-host sejumlah besar situs web pada satu alamat IPv4. Inti dari SNI adalah ekstensi ini memungkinkan klien, selama proses jabat tangan, memberi tahu server nama situs yang ingin dihubungkan. Hal ini memungkinkan server untuk menyimpan banyak sertifikat, yang berarti beberapa domain dapat beroperasi pada satu alamat IP. Teknologi SNI menjadi sangat populer di kalangan penyedia SaaS bisnis, yang memiliki peluang untuk meng-host domain dalam jumlah yang hampir tidak terbatas tanpa memperhatikan jumlah alamat IPv4 yang diperlukan untuk hal ini. Mari cari tahu bagaimana Anda dapat menerapkan dukungan SNI di Zimbra Collaboration Suite Open-Source Edition.
SNI berfungsi di semua versi Zimbra OSE saat ini dan yang didukung. Jika Anda menjalankan Zimbra Open-Source pada infrastruktur multi-server, Anda perlu melakukan semua langkah di bawah ini pada node yang sudah menginstal server Proxy Zimbra. Selain itu, Anda memerlukan pasangan sertifikat+kunci yang cocok, serta rantai sertifikat tepercaya dari CA Anda untuk setiap domain yang ingin Anda host di alamat IPv4 Anda. Harap dicatat bahwa penyebab sebagian besar kesalahan saat mengatur SNI di Zimbra OSE justru adalah file dengan sertifikat yang salah. Oleh karena itu, kami menyarankan Anda untuk memeriksa semuanya dengan cermat sebelum menginstalnya secara langsung.
Pertama-tama, agar SNI berfungsi normal, Anda perlu memasukkan perintah zmprov mcf zimbraReverseProxySNIDiaktifkan BENAR pada simpul proksi Zimbra, lalu mulai ulang layanan Proksi menggunakan perintah zmproxyctl memulai ulang.
Kita akan mulai dengan membuat nama domain. Misalnya kita akan mengambil domain perusahaan.ru dan, setelah domain dibuat, kami akan menentukan nama host virtual Zimbra dan alamat IP virtual. Harap diperhatikan bahwa nama host virtual Zimbra harus cocok dengan nama yang harus dimasukkan pengguna di browser untuk mengakses domain, dan juga cocok dengan nama yang ditentukan dalam sertifikat. Misalnya, Zimbra sebagai nama host virtual mail.perusahaan.ru, dan sebagai alamat IPv4 virtual kami menggunakan alamat tersebut 1.2.3.4.
Setelah ini, masukkan saja perintahnya zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4untuk mengikat host virtual Zimbra ke alamat IP virtual. Harap dicatat bahwa jika server terletak di belakang NAT atau firewall, Anda harus memastikan bahwa semua permintaan ke domain ditujukan ke alamat IP eksternal yang terkait dengannya, dan bukan ke alamatnya di jaringan lokal.
Setelah semuanya selesai, yang tersisa hanyalah memeriksa dan menyiapkan sertifikat domain untuk instalasi, lalu menginstalnya.
Jika penerbitan sertifikat domain diselesaikan dengan benar, Anda akan memiliki tiga file dengan sertifikat: dua di antaranya adalah rangkaian sertifikat dari otoritas sertifikasi Anda, dan satu adalah sertifikat langsung untuk domain tersebut. Selain itu, Anda harus memiliki file dengan kunci yang Anda gunakan untuk mendapatkan sertifikat. Buat folder terpisah /tmp/perusahaan.ru dan letakkan semua file yang tersedia dengan kunci dan sertifikat di sana. Hasil akhirnya akan seperti ini:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtSetelah ini, kami akan menggabungkan rantai sertifikat menjadi satu file menggunakan perintah cat perusahaan.ru.root.crt perusahaan.ru.intermediate.crt >> perusahaan.ru_ca.crt dan pastikan semuanya beres dengan sertifikat menggunakan perintah /opt/zimbra/bin/zmcertmgr verifikasicrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Setelah verifikasi sertifikat dan kunci berhasil, Anda dapat mulai menginstalnya.
Untuk memulai instalasi, pertama-tama kami akan menggabungkan sertifikat domain dan rantai tepercaya dari otoritas sertifikasi ke dalam satu file. Ini juga dapat dilakukan dengan menggunakan satu perintah seperti cat perusahaan.ru.crt perusahaan.ru_ca.crt >> perusahaan.ru.bundle. Setelah ini, Anda perlu menjalankan perintah untuk menulis semua sertifikat dan kunci LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keylalu instal sertifikat menggunakan perintah /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Setelah instalasi, sertifikat dan kunci domain company.ru akan disimpan di folder /opt/zimbra/conf/domaincerts/company.ru.
Dengan mengulangi langkah-langkah ini menggunakan nama domain berbeda tetapi alamat IP yang sama, beberapa ratus domain dapat dihosting pada satu alamat IPv4. Dalam hal ini, Anda dapat menggunakan sertifikat dari berbagai pusat penerbit tanpa masalah. Anda dapat memeriksa kebenaran semua tindakan yang dilakukan di browser apa pun, di mana setiap nama host virtual harus menampilkan sertifikat SSL-nya sendiri.
Untuk segala pertanyaan terkait Zextras Suite, Anda dapat menghubungi Perwakilan Zextras Ekaterina Triandafilidi melalui email [email dilindungi]
Sumber: www.habr.com