XXI amžiaus pradžioje tokie ištekliai kaip IPv21 adresai yra ant išsekimo ribos. Dar 4 metais IANA paskutinius penkis likusius /2011 adresų erdvės blokus skyrė regioniniams interneto registratoriams, o jau 8 metais jiems pritrūko adresų. Atsakymas į katastrofišką IPv2017 adresų trūkumą buvo ne tik IPv4 protokolo atsiradimas, bet ir SNI technologija, kuri leido viename IPv6 adresu talpinti daugybę svetainių. SNI esmė yra ta, kad šis plėtinys leidžia klientams rankos paspaudimo metu pasakyti serveriui svetainės, su kuria jis nori prisijungti, pavadinimą. Tai leidžia serveriui saugoti kelis sertifikatus, o tai reiškia, kad keli domenai gali veikti vienu IP adresu. SNI technologija ypač išpopuliarėjo tarp verslo SaaS tiekėjų, kurie turi galimybę talpinti beveik neribotą skaičių domenų, neatsižvelgiant į tam reikalingą IPv4 adresų skaičių. Išsiaiškinkime, kaip galite įdiegti SNI palaikymą „Zimbra Collaboration Suite Open-Source Edition“.
SNI veikia visose dabartinėse ir palaikomose Zimbra OSE versijose. Jei Zimbra atvirojo kodo veikia kelių serverių infrastruktūroje, visus toliau nurodytus veiksmus turėsite atlikti mazge, kuriame įdiegtas Zimbra tarpinis serveris. Be to, kiekvienam domenui, kurį norite priglobti savo IPv4 adresu, jums reikės atitinkamų sertifikatų ir raktų porų, taip pat patikimų sertifikatų grandinių iš CA. Atkreipkite dėmesį, kad daugumos klaidų, kylančių nustatant SNI Zimbra OSE, priežastis yra būtent neteisingi failai su sertifikatais. Todėl patariame viską atidžiai patikrinti prieš montuojant juos tiesiogiai.
Visų pirma, norint, kad SNI veiktų normaliai, reikia įvesti komandą zmprov mcf zimbraReverseProxySNIEĮjungta TRUE Zimbra tarpinio serverio mazge, tada iš naujo paleiskite tarpinio serverio paslaugą naudodami komandą zmproxyctl paleisti iš naujo.
Pradėsime nuo domeno vardo sukūrimo. Pavyzdžiui, mes paimsime domeną company.ru ir po to, kai domenas jau bus sukurtas, nuspręsime dėl Zimbra virtualaus kompiuterio pavadinimo ir virtualaus IP adreso. Atkreipkite dėmesį, kad „Zimbra“ virtualaus pagrindinio kompiuterio pavadinimas turi sutapti su pavadinimu, kurį vartotojas turi įvesti naršyklėje norėdamas pasiekti domeną, taip pat sutapti su sertifikate nurodytu pavadinimu. Pavyzdžiui, paimkime Zimbra kaip virtualaus pagrindinio kompiuterio pavadinimą mail.company.ru, o kaip virtualų IPv4 adresą naudojame adresą 1.2.3.4.
Po to tiesiog įveskite komandą zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4susieti Zimbra virtualųjį pagrindinį kompiuterį su virtualiu IP adresu. Atkreipkite dėmesį, kad jei serveris yra už NAT arba užkardos, turite užtikrinti, kad visos užklausos domenui būtų nukreiptos su juo susietu išoriniu IP adresu, o ne jo adresu vietiniame tinkle.
Viską atlikus belieka patikrinti ir paruošti domeno sertifikatus diegimui, o tada juos įdiegti.
Jei domeno sertifikato išdavimas buvo baigtas teisingai, turėtumėte turėti tris failus su sertifikatais: du iš jų yra jūsų sertifikavimo institucijos sertifikatų grandinės, o vienas yra tiesioginis domeno sertifikatas. Be to, turite turėti failą su raktu, kurį naudojote sertifikatui gauti. Sukurkite atskirą aplanką /tmp/company.ru ir įdėkite ten visus esamus failus su raktais ir sertifikatais. Galutinis rezultatas turėtų būti maždaug toks:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPo to sertifikatų grandines sujungsime į vieną failą naudodami komandą cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt ir naudodamiesi komanda įsitikinkite, kad su sertifikatais viskas tvarkoje /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Sėkmingai patikrinę sertifikatus ir raktą, galite pradėti juos diegti.
Norėdami pradėti diegti, pirmiausia sujungsime domeno sertifikatą ir patikimas sertifikavimo institucijų grandines į vieną failą. Tai taip pat galima padaryti naudojant vieną komandą, pvz cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Po to turite paleisti komandą, kad galėtumėte parašyti visus sertifikatus ir raktą į LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyir tada įdiekite sertifikatus naudodami komandą /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Įdiegę sertifikatai ir įmonės.ru domeno raktas bus saugomi aplanke /opt/zimbra/conf/domaincerts/company.ru.
Kartojant šiuos veiksmus naudojant skirtingus domenų vardus, bet tą patį IP adresą, galima vienu IPv4 adresu priglobti kelis šimtus domenų. Tokiu atveju be problemų galite naudoti įvairių išdavimo centrų sertifikatus. Visų atliktų veiksmų teisingumą galite patikrinti bet kurioje naršyklėje, kur kiekvienas virtualaus kompiuterio pavadinimas turi rodyti savo SSL sertifikatą.
Visais su Zextras Suite susijusiais klausimais galite kreiptis į Zextras atstovę Ekaterina Triandafilidi el. [apsaugotas el. paštu]
Šaltinis: www.habr.com