21. gadsimta sÄkumÄ tÄds resurss kÄ IPv4 adreses ir uz izsÄ«kuma robežas. VÄl 2011. gadÄ IANA pieŔķīra pÄdÄjos piecus atlikuÅ”os /8 adreÅ”u telpas blokus reÄ£ionÄlajiem interneta reÄ£istratoriem, un jau 2017. gadÄ tiem beidzÄs adreses. Atbilde uz katastrofÄlo IPv4 adreÅ”u trÅ«kumu bija ne tikai IPv6 protokola parÄdÄ«Å”anÄs, bet arÄ« SNI tehnoloÄ£ija, kas ļÄva vienÄ IPv4 adresÄ mitinÄt milzÄ«gu skaitu vietÅu. SNI bÅ«tÄ«ba ir tÄda, ka Å”is paplaÅ”inÄjums ļauj klientiem rokasspiediena laikÄ pateikt serverim tÄs vietnes nosaukumu, ar kuru tas vÄlas izveidot savienojumu. Tas ļauj serverim saglabÄt vairÄkus sertifikÄtus, kas nozÄ«mÄ, ka ar vienu IP adresi var darboties vairÄki domÄni. SNI tehnoloÄ£ija ir kļuvusi Ä«paÅ”i populÄra biznesa SaaS pakalpojumu sniedzÄju vidÅ«, kuriem ir iespÄja mitinÄt gandrÄ«z neierobežotu skaitu domÄnu neatkarÄ«gi no tam nepiecieÅ”amo IPv4 adreÅ”u skaita. Noskaidrosim, kÄ varat ieviest SNI atbalstu Zimbra Collaboration Suite Open-Source Edition.
SNI darbojas visÄs paÅ”reizÄjÄs un atbalstÄ«tajÄs Zimbra OSE versijÄs. Ja jums ir Zimbra Open-Source, kas darbojas vairÄku serveru infrastruktÅ«rÄ, jums bÅ«s jÄveic visas tÄlÄk norÄdÄ«tÄs darbÄ«bas mezglÄ, kurÄ ir instalÄts Zimbra starpniekserveris. TurklÄt jums bÅ«s nepiecieÅ”ami atbilstoÅ”i sertifikÄtu un atslÄgu pÄri, kÄ arÄ« uzticamas sertifikÄtu Ä·Ädes no jÅ«su CA katram domÄnam, kuru vÄlaties mitinÄt savÄ IPv4 adresÄ. LÅ«dzu, Åemiet vÄrÄ, ka lielÄkÄ daļa kļūdu, kas rodas, iestatot SNI Zimbra OSE, ir tieÅ”i nepareizi faili ar sertifikÄtiem. TÄpÄc mÄs iesakÄm rÅ«pÄ«gi pÄrbaudÄ«t visu pirms to tieÅ”as instalÄÅ”anas.
PirmkÄrt, lai SNI darbotos normÄli, jums jÄievada komanda zmprov mcf zimbraReverseProxySNIEIespÄjots TRUE Zimbra starpniekservera mezglÄ un pÄc tam restartÄjiet starpniekservera pakalpojumu, izmantojot komandu zmproxyctl restartÄt.
MÄs sÄksim ar domÄna nosaukuma izveidi. PiemÄram, mÄs Åemsim domÄnu company.ru un pÄc tam, kad domÄns jau bÅ«s izveidots, mÄs izlemsim par Zimbra virtuÄlÄ resursdatora nosaukumu un virtuÄlo IP adresi. LÅ«dzu, Åemiet vÄrÄ, ka Zimbra virtuÄlÄ saimniekdatora nosaukumam ir jÄsakrÄ«t ar nosaukumu, kas lietotÄjam jÄievada pÄrlÅ«kprogrammÄ, lai piekļūtu domÄnam, kÄ arÄ« jÄatbilst sertifikÄtÄ norÄdÄ«tajam nosaukumam. PiemÄram, pieÅemsim Zimbra kÄ virtuÄlÄ saimniekdatora nosaukumu mail.company.ru, un kÄ virtuÄlo IPv4 adresi mÄs izmantojam adresi 1.2.3.4.
PÄc tam vienkÄrÅ”i ievadiet komandu zmprov md company.ru zimbraVirtualHostName pasts.company.ru zimbraVirtualIPAdrese 1.2.3.4lai saistÄ«tu Zimbra virtuÄlo resursdatoru ar virtuÄlo IP adresi. LÅ«dzu, Åemiet vÄrÄ: ja serveris atrodas aiz NAT vai ugunsmÅ«ra, jums ir jÄnodroÅ”ina, lai visi domÄna pieprasÄ«jumi tiktu nosÅ«tÄ«ti uz ÄrÄjo IP adresi, kas ir saistÄ«ta ar to, nevis uz tÄ adresi vietÄjÄ tÄ«klÄ.
Kad viss ir izdarÄ«ts, atliek tikai pÄrbaudÄ«t un sagatavot domÄna sertifikÄtus instalÄÅ”anai un pÄc tam tos instalÄt.
Ja domÄna sertifikÄta izsniegÅ”ana tika pabeigta pareizi, jums ir jÄbÅ«t trim failiem ar sertifikÄtiem: divi no tiem ir jÅ«su sertifikÄcijas iestÄdes sertifikÄtu Ä·Ädes, bet viens ir tieÅ”ais domÄna sertifikÄts. TurklÄt jums ir jÄbÅ«t failam ar atslÄgu, kuru izmantojÄt sertifikÄta iegÅ«Å”anai. Izveidojiet atseviŔķu mapi /tmp/company.ru un ievietojiet tur visus pieejamos failus ar atslÄgÄm un sertifikÄtiem. Gala rezultÄtam vajadzÄtu bÅ«t apmÄram Å”Ädam:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crt
PÄc tam mÄs apvienosim sertifikÄtu Ä·Ädes vienÄ failÄ, izmantojot komandu kaÄ·u uzÅÄmums.ru.root.crt uzÅÄmums.ru.intermediate.crt >> uzÅÄmums.ru_ca.crt un pÄrliecinieties, ka ar sertifikÄtiem viss ir kÄrtÄ«bÄ, izmantojot komandu /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Kad sertifikÄti un atslÄga ir veiksmÄ«gi pÄrbaudÄ«ti, varat sÄkt to instalÄÅ”anu.
Lai sÄktu instalÄÅ”anu, mÄs vispirms apvienosim domÄna sertifikÄtu un uzticamÄs Ä·Ädes no sertifikÄcijas iestÄdÄm vienÄ failÄ. To var izdarÄ«t arÄ«, izmantojot vienu komandu, piemÄram cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. PÄc tam jums ir jÄpalaiž komanda, lai ierakstÄ«tu visus sertifikÄtus un atslÄgu LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyun pÄc tam instalÄjiet sertifikÄtus, izmantojot komandu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. PÄc instalÄÅ”anas sertifikÄti un domÄna company.ru atslÄga tiks saglabÄti mapÄ /opt/zimbra/conf/domaincerts/company.ru.
AtkÄrtojot Ŕīs darbÄ«bas, izmantojot dažÄdus domÄna nosaukumus, bet vienu un to paÅ”u IP adresi, ir iespÄjams mitinÄt vairÄkus simtus domÄnu vienÄ IPv4 adresÄ. Å ajÄ gadÄ«jumÄ bez problÄmÄm varat izmantot dažÄdu izdoÅ”anas centru sertifikÄtus. Visu veikto darbÄ«bu pareizÄ«bu varat pÄrbaudÄ«t jebkurÄ pÄrlÅ«kprogrammÄ, kur katram virtuÄlÄ resursdatora nosaukumam ir jÄparÄda savs SSL sertifikÄts.
Par visiem jautÄjumiem, kas saistÄ«ti ar Zextras Suite, varat sazinÄties ar Zextras pÄrstÄvi Jekaterinu Triandafilidi pa e-pastu [e-pasts aizsargÄts]
Avots: www.habr.com