Zimbra OSE에서 SNI를 올바르게 구성하는 방법은 무엇입니까?

21세기 초에는 IPv4 주소와 같은 자원이 고갈 위기에 처해 있습니다. 2011년에 IANA는 주소 공간의 마지막 8개 남은 /2017 블록을 지역 인터넷 등록 기관에 할당했지만 이미 4년에 주소가 부족했습니다. IPv6 주소의 치명적인 부족 문제에 대한 해결책은 IPv4 프로토콜의 출현뿐 아니라 단일 IPv4 주소에서 엄청난 수의 웹사이트를 호스팅할 수 있게 해주는 SNI 기술이었습니다. SNI의 핵심은 이 확장을 통해 클라이언트가 핸드셰이크 프로세스 중에 연결하려는 사이트의 이름을 서버에 알릴 수 있다는 것입니다. 이를 통해 서버는 여러 인증서를 저장할 수 있으며, 이는 여러 도메인이 하나의 IP 주소에서 작동할 수 있음을 의미합니다. SNI 기술은 필요한 IPvXNUMX 주소 수에 관계없이 거의 무제한의 도메인을 호스팅할 수 있는 기회를 가진 비즈니스 SaaS 제공업체 사이에서 특히 인기를 얻었습니다. Zimbra Collaboration Suite Open-Source Edition에서 SNI 지원을 구현하는 방법을 알아 보겠습니다.

SNI는 현재 지원되는 모든 버전의 Zimbra OSE에서 작동합니다. 다중 서버 인프라에서 Zimbra 오픈 소스를 실행하는 경우 Zimbra 프록시 서버가 설치된 노드에서 아래의 모든 단계를 수행해야 합니다. 또한 IPv4 주소에서 호스팅하려는 각 도메인에 대해 CA의 신뢰할 수 있는 인증서 체인뿐만 아니라 일치하는 인증서+키 쌍이 필요합니다. Zimbra OSE에서 SNI를 설정할 때 발생하는 대부분의 오류 원인은 정확히 인증서가 포함된 파일이 잘못되었기 때문입니다. 따라서 직접 설치하기 전에 모든 사항을 주의 깊게 확인하는 것이 좋습니다.

먼저 SNI가 정상적으로 작동하기 위해서는 다음 명령어를 입력해야 합니다. zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra 프록시 노드에서 다음 명령을 사용하여 프록시 서비스를 다시 시작합니다. zmproxyctl 다시 시작.

도메인 이름을 만드는 것부터 시작하겠습니다. 예를 들어 도메인을 사용하겠습니다. company.ru 도메인이 이미 생성된 후 Zimbra 가상 호스트 이름과 가상 IP 주소를 결정합니다. Zimbra 가상 호스트 이름은 사용자가 도메인에 액세스하기 위해 브라우저에 입력해야 하는 이름과 일치해야 하며, 인증서에 지정된 이름과도 일치해야 합니다. 예를 들어 Zimbra를 가상 호스트 이름으로 사용하겠습니다. mail.company.ru, 가상 IPv4 주소로 주소를 사용합니다. 1.2.3.4.

그런 다음 명령을 입력하십시오. zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra 가상 호스트를 가상 IP 주소에 바인딩합니다. 서버가 NAT 또는 방화벽 뒤에 있는 경우 도메인에 대한 모든 요청이 로컬 네트워크의 주소가 아닌 이와 연결된 외부 IP 주소로 이동하는지 확인해야 합니다.

모든 작업이 완료되면 설치할 도메인 인증서를 확인하고 준비한 후 설치하는 작업만 남았습니다.

도메인 인증서 발급이 올바르게 완료되면 인증서가 포함된 파일 XNUMX개가 있어야 합니다. 그 중 XNUMX개는 인증 기관의 인증서 체인이고 하나는 도메인에 대한 직접 인증서입니다. 또한 인증서를 얻는 데 사용한 키가 포함된 파일이 있어야 합니다. 별도의 폴더 만들기 /tmp/company.ru 키와 인증서가 포함된 사용 가능한 모든 파일을 여기에 배치합니다. 최종 결과는 다음과 같아야 합니다.

ls /tmp/company.ru
company.ru.key
 company.ru.crt
 company.ru.root.crt
 company.ru.intermediate.crt

그런 다음 다음 명령을 사용하여 인증서 체인을 하나의 파일로 결합합니다. 고양이 회사.ru.root.crt 회사.ru.intermediate.crt >> 회사.ru_ca.crt 명령을 사용하여 인증서와 모든 것이 올바른지 확인하십시오. /opt/zimbra/bin/zmcertmgr verifycrt 통신 /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. 인증서와 키 확인이 성공적으로 완료되면 설치를 시작할 수 있습니다.

설치를 시작하려면 먼저 인증 기관의 도메인 인증서와 신뢰할 수 있는 체인을 하나의 파일로 결합합니다. 이 작업은 다음과 같은 하나의 명령을 사용하여 수행할 수도 있습니다. 고양이 회사.ru.crt 회사.ru_ca.crt >> 회사.ru.번들. 그런 다음 모든 인증서와 키를 LDAP에 기록하려면 다음 명령을 실행해야 합니다. /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.key그런 다음 명령을 사용하여 인증서를 설치하십시오. /opt/zimbra/libexec/zmdomaincertmgr 배포crts. 설치 후에는 company.ru 도메인의 인증서와 키가 폴더에 저장됩니다. /opt/zimbra/conf/domaincerts/company.ru. 

다른 도메인 이름이지만 동일한 IP 주소를 사용하여 이러한 단계를 반복하면 단일 IPv4 주소에서 수백 개의 도메인을 호스팅할 수 있습니다. 이 경우, 다양한 발급센터의 인증서를 문제없이 사용하실 수 있습니다. 각 가상 호스트 이름이 자체 SSL 인증서를 표시해야 하는 모든 브라우저에서 수행되는 모든 작업의 ​​정확성을 확인할 수 있습니다. 

Zextras Suite와 관련된 모든 질문은 Zextras Ekaterina Triandafilidi 대표에게 이메일로 문의할 수 있습니다. [이메일 보호]

출처 : habr.com