21世紀初頭、IPv4アドレスなどのリソースは枯渇の危機に瀕しています。 2011 年に遡り、IANA はアドレス空間の残り 8 つの /2017 ブロックを地域のインターネット レジストラに割り当てましたが、すでに 4 年にはアドレスが不足していました。 IPv6 アドレスの壊滅的な不足に対する答えは、IPv4 プロトコルだけでなく、単一の IPv4 アドレスで膨大な数の Web サイトをホストできるようにする SNI テクノロジーの登場でもありました。 SNI の本質は、この拡張機能により、クライアントがハンドシェイク プロセス中に接続先のサイトの名前をサーバーに伝えることができるということです。 これにより、サーバーは複数の証明書を保存できるようになり、複数のドメインが XNUMX つの IP アドレスで動作できることになります。 SNI テクノロジーは、必要な IPvXNUMX アドレスの数に関係なく、ほぼ無制限の数のドメインをホストする機会を持つビジネス SaaS プロバイダーの間で特に人気が高まっています。 Zimbra Collaboration Suite オープンソース エディションで SNI サポートを実装する方法を見てみましょう。
SNI は、現在サポートされているすべてのバージョンの Zimbra OSE で動作します。 マルチサーバーインフラストラクチャ上で Zimbra オープンソースを実行している場合は、Zimbra プロキシサーバーがインストールされているノード上で以下のすべての手順を実行する必要があります。 さらに、IPv4 アドレスでホストするドメインごとに、一致する証明書とキーのペア、および CA からの信頼された証明書チェーンが必要になります。 Zimbra OSE で SNI をセットアップする際のエラーのほとんどの原因は、証明書が含まれるファイルが正しくないことであることに注意してください。 したがって、直接インストールする前に、すべてを注意深く確認することをお勧めします。
まず、SNI が正常に動作するには、次のコマンドを入力する必要があります。 zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra プロキシ ノード上で、次のコマンドを使用してプロキシ サービスを再起動します。 zmproxyctlの再起動.
まずはドメイン名を作成します。 たとえば、ドメインを取り上げます。 company.ru ドメインがすでに作成されたら、Zimbra の仮想ホスト名と仮想 IP アドレスを決定します。 Zimbra仮想ホスト名は、ユーザーがドメインにアクセスするためにブラウザに入力する必要がある名前と一致し、証明書で指定されている名前とも一致する必要があることに注意してください。 たとえば、仮想ホスト名として Zimbra を使用してみましょう。 mail.company.ru、仮想 IPv4 アドレスとして、次のアドレスを使用します。 1.2.3.4.
後はコマンドを入力するだけです zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra 仮想ホストを仮想 IP アドレスにバインドします。 サーバーが NAT またはファイアウォールの背後にある場合は、ドメインへのすべてのリクエストがローカル ネットワーク上のアドレスではなく、ドメインに関連付けられた外部 IP アドレスに送信されるようにする必要があることに注意してください。
すべてが完了したら、あとはインストール用のドメイン証明書を確認して準備し、インストールするだけです。
ドメイン証明書の発行が正しく完了した場合は、証明書が含まれたファイルが XNUMX つあるはずです。そのうちの XNUMX つは証明機関からの証明書のチェーンであり、XNUMX つはドメインの直接証明書です。 さらに、証明書の取得に使用したキーを含むファイルが必要です。 別のフォルダーを作成する /tmp/company.ru そして、キーと証明書を含むすべての既存のファイルをそこに配置します。 最終結果は次のようになります。
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtこの後、次のコマンドを使用して証明書チェーンを XNUMX つのファイルに結合します。 cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt 次のコマンドを使用して、証明書がすべて正しいことを確認します。 /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt。 証明書とキーの検証が成功したら、それらのインストールを開始できます。
インストールを開始するには、まずドメイン証明書と認証局からの信頼されたチェーンを XNUMX つのファイルに結合します。 これは、次のような XNUMX つのコマンドを使用して実行することもできます。 cat company.ru.crt company.ru_ca.crt >> company.ru.bundle。 この後、すべての証明書とキーを LDAP に書き込むためにコマンドを実行する必要があります。 /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.key次に、次のコマンドを使用して証明書をインストールします。 /opt/zimbra/libexec/zmdomaincertmgrdeploycrts。 インストール後、company.ru ドメインの証明書とキーがフォルダーに保存されます。 /opt/zimbra/conf/domaincerts/company.ru.
同じ IP アドレスを使用して異なるドメイン名を使用してこれらの手順を繰り返すことにより、単一の IPv4 アドレスで数百のドメインをホストすることができます。 この場合、さまざまな発行センターからの証明書を問題なく使用できます。 任意のブラウザで実行されたすべてのアクションの正しさをチェックできます。各仮想ホスト名には独自の SSL 証明書が表示されます。
Zextras Suite に関するすべての質問については、Zextras Ekaterina Triandafilidi の代表者に電子メールでお問い合わせください。 [メール保護]
出所: habr.com