21 ғасырдың басында IPv4 мекенжайлары сияқты ресурс таусылу алдында тұр. 2011 жылы IANA өзінің мекенжай кеңістігінің соңғы бес қалғанын /8 блогын аймақтық интернет-тіркеушілерге бөлді, ал 2017 жылы олардың мекенжайлары таусылды. IPv4 мекенжайларының апатты тапшылығына жауап IPv6 протоколының пайда болуы ғана емес, сонымен қатар бір IPv4 мекенжайында көптеген веб-сайттарды орналастыруға мүмкіндік беретін SNI технологиясы болды. SNI мәні мынада, бұл кеңейтім клиенттерге қол алысу процесі кезінде серверге қосылғысы келетін сайттың атын айтуға мүмкіндік береді. Бұл серверге бірнеше сертификаттарды сақтауға мүмкіндік береді, яғни бірнеше домен бір IP мекенжайында жұмыс істей алады. SNI технологиясы әсіресе іскерлік SaaS провайдерлері арасында танымал болды, олар бұл үшін талап етілетін IPv4 мекенжайларының санын есепке алмай, шексіз дерлік домендерді орналастыру мүмкіндігіне ие болды. Zimbra Collaboration Suite Open-Source Edition жүйесінде SNI қолдауын қалай енгізуге болатынын білейік.
SNI Zimbra OSE барлық ағымдағы және қолдау көрсетілетін нұсқаларында жұмыс істейді. Егер сізде көп серверлік инфрақұрылымда іске қосылған Zimbra Open-Source болса, Zimbra Proxy сервері орнатылған түйінде төмендегі барлық қадамдарды орындау қажет болады. Бұған қоса, сізге сәйкес сертификат+кілт жұптары, сондай-ақ IPv4 мекенжайында орналастырғыңыз келетін әрбір домен үшін CA-ның сенімді сертификат тізбегі қажет болады. Zimbra OSE жүйесінде SNI орнату кезіндегі қателердің басым көпшілігінің себебі сертификаттары бар дұрыс емес файлдар екенін ескеріңіз. Сондықтан, оларды тікелей орнатпас бұрын бәрін мұқият тексеруге кеңес береміз.
Ең алдымен, SNI қалыпты жұмыс істеуі үшін пәрменді енгізу керек zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra прокси түйінінде, содан кейін пәрмен арқылы прокси қызметін қайта іске қосыңыз zmproxyctl қайта іске қосыңыз.
Біз домен атауын жасаудан бастаймыз. Мысалы, біз доменді аламыз company.ru және домен жасалғаннан кейін Zimbra виртуалды хост атауы мен виртуалды IP мекенжайы туралы шешім қабылдаймыз. Zimbra виртуалды хост атауы пайдаланушы доменге кіру үшін браузерде енгізуі керек атқа сәйкес келуі керек, сондай-ақ сертификатта көрсетілген атқа сәйкес келуі керек екенін ескеріңіз. Мысалы, Zimbra-ны виртуалды хост атауы ретінде алайық mail.company.ru, және виртуалды IPv4 мекенжайы ретінде біз мекенжайды қолданамыз 1.2.3.4.
Осыдан кейін пәрменді енгізу жеткілікті zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra виртуалды хостын виртуалды IP мекенжайына байланыстыру үшін. Сервер NAT немесе брандмауэрдің артында орналасқан болса, доменге барлық сұраулар жергілікті желідегі мекенжайына емес, онымен байланысты сыртқы IP мекенжайына өтуін қамтамасыз ету керек екенін ескеріңіз.
Барлығы аяқталғаннан кейін домен сертификаттарын орнату үшін тексеру және дайындау, содан кейін оларды орнату ғана қалады.
Домен сертификатын шығару дұрыс аяқталған болса, сізде сертификаттары бар үш файл болуы керек: олардың екеуі сертификаттау органының сертификаттары тізбегі және біреуі доменге арналған тікелей сертификат. Бұған қоса, сізде сертификатты алу үшін пайдаланған кілті бар файл болуы керек. Бөлек қалта жасаңыз /tmp/company.ru және кілттері мен сертификаттары бар барлық қолжетімді файлдарды сонда орналастырыңыз. Соңғы нәтиже келесідей болуы керек:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtОсыдан кейін біз пәрмен арқылы сертификат тізбектерін бір файлға біріктіреміз cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt және пәрменді пайдаланып сертификаттармен бәрі реттелгеніне көз жеткізіңіз /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Сертификаттар мен кілтті тексеру сәтті болғаннан кейін оларды орнатуды бастауға болады.
Орнатуды бастау үшін алдымен домен куәлігін және сертификаттау органдарынан сенімді тізбектерді бір файлға біріктіреміз. Мұны бір пәрмен арқылы да жасауға болады, мысалы cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Осыдан кейін барлық сертификаттар мен LDAP кілтін жазу үшін пәрменді іске қосу керек: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyсодан кейін пәрмен арқылы сертификаттарды орнатыңыз /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Орнатқаннан кейін сертификаттар мен company.ru доменінің кілті қалтада сақталады /opt/zimbra/conf/domaincerts/company.ru.
Әртүрлі домен атауларын, бірақ бірдей IP мекенжайын пайдаланып осы қадамдарды қайталау арқылы бір IPv4 мекенжайында бірнеше жүздеген домендерді орналастыруға болады. Бұл жағдайда сіз әртүрлі эмиссиялық орталықтардың сертификаттарын еш қиындықсыз пайдалана аласыз. Кез келген браузерде орындалған барлық әрекеттердің дұрыстығын тексеруге болады, мұнда әрбір виртуалды хост атауы өзінің SSL сертификатын көрсетуі керек.
Zextras Suite-ке қатысты барлық сұрақтар бойынша сіз Zextras өкілі Екатерина Триандафилидиге электрондық пошта арқылы хабарласа аласыз. [электрондық пошта қорғалған]
Ақпарат көзі: www.habr.com