XXI amžiaus pradžioje tokie ištekliai kaip IPv21 adresai yra ant išsekimo ribos. Dar 4 metais IANA paskutinius penkis likusius /2011 adresų erdvės blokus skyrė regioniniams interneto registratoriams, o jau 8 metais jiems pritrūko adresų. Atsakymas į katastrofišką IPv2017 adresų trūkumą buvo ne tik IPv4 protokolo atsiradimas, bet ir SNI technologija, kuri leido viename IPv6 adresu talpinti daugybę svetainių. SNI esmė yra ta, kad šis plėtinys leidžia klientams rankos paspaudimo metu pasakyti serveriui svetainės, su kuria jis nori prisijungti, pavadinimą. Tai leidžia serveriui saugoti kelis sertifikatus, o tai reiškia, kad keli domenai gali veikti vienu IP adresu. SNI technologija ypač išpopuliarėjo tarp verslo SaaS tiekėjų, kurie turi galimybę talpinti beveik neribotą skaičių domenų, neatsižvelgiant į tam reikalingą IPv4 adresų skaičių. Išsiaiškinkime, kaip galite įdiegti SNI palaikymą „Zimbra Collaboration Suite Open-Source Edition“.
SNI veikia visose dabartinėse ir palaikomose Zimbra OSE versijose. Jei Zimbra atvirojo kodo veikia kelių serverių infrastruktūroje, visus toliau nurodytus veiksmus turėsite atlikti mazge, kuriame įdiegtas Zimbra tarpinis serveris. Be to, kiekvienam domenui, kurį norite priglobti savo IPv4 adresu, jums reikės atitinkamų sertifikatų ir raktų porų, taip pat patikimų sertifikatų grandinių iš CA. Atkreipkite dėmesį, kad daugumos klaidų, kylančių nustatant SNI Zimbra OSE, priežastis yra būtent neteisingi failai su sertifikatais. Todėl patariame viską atidžiai patikrinti prieš montuojant juos tiesiogiai.
Visų pirma, norint, kad SNI veiktų normaliai, reikia įvesti komandą zmprov mcf zimbraReverseProxySNIEĮjungta TRUE Zimbra tarpinio serverio mazge, tada iš naujo paleiskite tarpinio serverio paslaugą naudodami komandą zmproxyctl paleisti iš naujo.
Pradėsime nuo domeno vardo sukūrimo. Pavyzdžiui, mes paimsime domeną company.ru ir po to, kai domenas jau bus sukurtas, nuspręsime dėl Zimbra virtualaus kompiuterio pavadinimo ir virtualaus IP adreso. Atkreipkite dėmesį, kad „Zimbra“ virtualaus pagrindinio kompiuterio pavadinimas turi sutapti su pavadinimu, kurį vartotojas turi įvesti naršyklėje norėdamas pasiekti domeną, taip pat sutapti su sertifikate nurodytu pavadinimu. Pavyzdžiui, paimkime Zimbra kaip virtualaus pagrindinio kompiuterio pavadinimą mail.company.ru, o kaip virtualų IPv4 adresą naudojame adresą 1.2.3.4.
Po to tiesiog įveskite komandą zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4susieti „Zimbra“ virtualųjį kompiuterį su virtualiuoju IP adresasAtkreipkite dėmesį, kad jei serveris yra už NAT arba užkardos, turite užtikrinti, kad visos užklausos domenui būtų nukreiptos į su juo susijusį išorinį IP adresą, o ne į vietinio tinklo adresą.
Viską atlikus belieka patikrinti ir paruošti domeno sertifikatus diegimui, o tada juos įdiegti.
Jei domeno sertifikato išdavimas buvo baigtas teisingai, turėtumėte turėti tris failus su sertifikatais: du iš jų yra jūsų sertifikavimo institucijos sertifikatų grandinės, o vienas yra tiesioginis domeno sertifikatas. Be to, turite turėti failą su raktu, kurį naudojote sertifikatui gauti. Sukurkite atskirą aplanką /tmp/company.ru ir įdėkite ten visus esamus failus su raktais ir sertifikatais. Galutinis rezultatas turėtų būti maždaug toks:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPo to sertifikatų grandines sujungsime į vieną failą naudodami komandą cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt ir naudodamiesi komanda įsitikinkite, kad su sertifikatais viskas tvarkoje /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Sėkmingai patikrinę sertifikatus ir raktą, galite pradėti juos diegti.
Norėdami pradėti diegti, pirmiausia sujungsime domeno sertifikatą ir patikimas sertifikavimo institucijų grandines į vieną failą. Tai taip pat galima padaryti naudojant vieną komandą, pvz cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Po to turite paleisti komandą, kad galėtumėte parašyti visus sertifikatus ir raktą į LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyir tada įdiekite sertifikatus naudodami komandą /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Įdiegę sertifikatai ir įmonės.ru domeno raktas bus saugomi aplanke /opt/zimbra/conf/domaincerts/company.ru.
Kartodami šiuos veiksmus naudodami skirtingus domenų vardus, bet tą patį IP adresą, galite talpinti kelis šimtus domenų viename IPv4 adrese. Taip pat galite be jokių problemų naudoti įvairių sertifikatų institucijų sertifikatus. Galite patikrinti, ar visi veiksmai atlikti teisingai, bet kurioje naršyklėje, kur kiekvienas virtualus pagrindinio kompiuterio vardas turėtų rodyti savo SSL sertifikatas.
Visais su „Zextras Suite“ susijusiais klausimais galite susisiekti su „Zextras“ atstove Ekaterina Triandafilidi el. paštu katerina@zextras.com
Šaltinis: www.habr.com
