כיצד להגדיר כראוי SNI ב-Zimbra OSE?

בתחילת המאה ה-21, משאב כמו כתובות IPv4 נמצא על סף מיצוי. עוד ב-2011, IANA הקצתה את חמשת ה-/8 בלוקים האחרונים שנותרו ממרחב הכתובות שלה לרשמי אינטרנט אזוריים, וכבר ב-2017 אזלו הכתובות. התשובה למחסור הקטסטרופלי בכתובות IPv4 הייתה לא רק הופעת פרוטוקול IPv6, אלא גם טכנולוגיית SNI, שאפשרה לארח מספר עצום של אתרים על כתובת IPv4 אחת. המהות של SNI היא שהרחבה זו מאפשרת ללקוחות, במהלך תהליך לחיצת היד, לומר לשרת את שם האתר אליו הוא רוצה להתחבר. זה מאפשר לשרת לאחסן אישורים מרובים, מה שאומר שמספר דומיינים יכולים לפעול על כתובת IP אחת. טכנולוגיית SNI הפכה לפופולרית במיוחד בקרב ספקי SaaS לעסקים, שיש להם הזדמנות לארח מספר כמעט בלתי מוגבל של דומיינים ללא קשר למספר כתובות ה-IPv4 הנדרשות לכך. בואו לגלות כיצד ניתן ליישם תמיכת SNI במהדורת קוד פתוח של Zimbra Collaboration Suite.

SNI עובד בכל הגרסאות העדכניות והנתמכות של Zimbra OSE. אם יש לך Zimbra Open-Source שפועל על תשתית מרובת שרתים, תצטרך לבצע את כל השלבים שלהלן בצומת עם שרת Zimbra Proxy מותקן. בנוסף, תזדקק לזוגות אישור+מפתח תואמים, כמו גם שרשרות אישורים מהימנות מה-CA שלך עבור כל אחד מהדומיינים שברצונך לארח בכתובת ה-IPv4 שלך. שימו לב שהגורם לרוב המוחלט של השגיאות בעת הגדרת SNI ב-Zimbra OSE הוא בדיוק קבצים שגויים עם אישורים. לכן, אנו ממליצים לך לבדוק היטב הכל לפני התקנתם ישירות.

קודם כל, כדי ש-SNI יעבוד כרגיל, אתה צריך להזין את הפקודה zmprov mcf zimbraReverseProxySNIEEnabled TRUE בצומת ה-Proxy של Zimbra, ולאחר מכן הפעל מחדש את שירות ה-Proxy באמצעות הפקודה הפעלה מחדש של zmproxyctl.

נתחיל ביצירת שם דומיין. לדוגמה, ניקח את הדומיין company.ru ולאחר שהדומיין כבר נוצר, נחליט על שם המארח הוירטואלי של Zimbra וכתובת ה-IP הוירטואלית. שימו לב ששם המארח הוירטואלי של Zimbra חייב להתאים לשם שעל המשתמש להזין בדפדפן כדי לגשת לדומיין, וכן להתאים לשם המצוין בתעודה. לדוגמה, בואו ניקח את Zimbra כשם המארח הוירטואלי mail.company.ru, וככתובת IPv4 וירטואלית אנו משתמשים בכתובת 1.2.3.4.

לאחר מכן, פשוט הזן את הפקודה zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4לאגד את המארח הוירטואלי של Zimbra לכתובת IP וירטואלית. שימו לב שאם השרת ממוקם מאחורי NAT ​​או חומת אש, עליכם לוודא שכל הבקשות לדומיין יעברו לכתובת ה-IP החיצונית המשויכת אליו, ולא לכתובת שלו ברשת המקומית.

לאחר שהכל נעשה, כל שנותר הוא לבדוק ולהכין את אישורי הדומיין להתקנה, ולאחר מכן להתקין אותם.

אם הנפקת תעודת דומיין הושלמה כהלכה, אמורים להיות לך שלושה קבצים עם תעודות: שניים מהם הם שרשרות של תעודות מרשות האישורים שלך, ואחד הוא תעודה ישירה לדומיין. בנוסף, עליך להחזיק בקובץ עם המפתח בו השתמשת לקבלת התעודה. צור תיקיה נפרדת /tmp/company.ru והצב שם את כל הקבצים הזמינים עם מפתחות ותעודות. התוצאה הסופית צריכה להיות משהו כזה:

ls /tmp/company.ru
company.ru.key
 company.ru.crt
 company.ru.root.crt
 company.ru.intermediate.crt

לאחר מכן, נשלב את שרשראות האישורים לקובץ אחד באמצעות הפקודה cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt ולוודא שהכל מסודר עם התעודות באמצעות הפקודה /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. לאחר שאימות האישורים והמפתח הצליח, תוכל להתחיל להתקין אותם.

על מנת להתחיל בהתקנה, נשלב תחילה את תעודת הדומיין ורשתות מהימנות מרשויות האישורים לקובץ אחד. ניתן לעשות זאת גם באמצעות פקודה אחת כמו cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. לאחר מכן, עליך להפעיל את הפקודה כדי לכתוב את כל האישורים והמפתח ל-LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyולאחר מכן התקן את האישורים באמצעות הפקודה /opt/zimbra/libexec/zmdomaincertmgr deploycrts. לאחר ההתקנה, האישורים והמפתח לדומיין company.ru יאוחסנו בתיקייה /opt/zimbra/conf/domaincerts/company.ru. 

על ידי חזרה על שלבים אלה באמצעות שמות דומיינים שונים אך באותה כתובת IP, ניתן לארח כמה מאות דומיינים בכתובת IPv4 אחת. במקרה זה, ניתן להשתמש בתעודות ממגוון מרכזי הנפקה ללא כל בעיה. אתה יכול לבדוק את נכונות כל הפעולות שבוצעו בכל דפדפן, כאשר כל שם מארח וירטואלי צריך להציג תעודת SSL משלו. 

לכל השאלות הקשורות ל-Zextras Suite, ניתן ליצור קשר עם נציגת Zextras Ekaterina Triandafilidi בדואר אלקטרוני [מוגן בדוא"ל]

מקור: www.habr.com