ProHoster > Blogs > Administrācija > Kā pareizi konfigurēt SNI Zimbra OSE?

Kā pareizi konfigurēt SNI Zimbra OSE?

21. gadsimta sākumā tāds resurss kā IPv4 adreses ir uz izsÄ«kuma robežas. Vēl 2011. gadā IANA pieŔķīra pēdējos piecus atlikuÅ”os /8 adreÅ”u telpas blokus reÄ£ionālajiem interneta reÄ£istratoriem, un jau 2017. gadā tiem beidzās adreses. Atbilde uz katastrofālo IPv4 adreÅ”u trÅ«kumu bija ne tikai IPv6 protokola parādÄ«Å”anās, bet arÄ« SNI tehnoloÄ£ija, kas ļāva vienā IPv4 adresē mitināt milzÄ«gu skaitu vietņu. SNI bÅ«tÄ«ba ir tāda, ka Å”is paplaÅ”inājums ļauj klientiem rokasspiediena laikā pateikt serverim tās vietnes nosaukumu, ar kuru tas vēlas izveidot savienojumu. Tas ļauj serverim saglabāt vairākus sertifikātus, kas nozÄ«mē, ka ar vienu IP adresi var darboties vairāki domēni. SNI tehnoloÄ£ija ir kļuvusi Ä«paÅ”i populāra biznesa SaaS pakalpojumu sniedzēju vidÅ«, kuriem ir iespēja mitināt gandrÄ«z neierobežotu skaitu domēnu neatkarÄ«gi no tam nepiecieÅ”amo IPv4 adreÅ”u skaita. Noskaidrosim, kā varat ieviest SNI atbalstu Zimbra Collaboration Suite Open-Source Edition.

Kā pareizi konfigurēt SNI Zimbra OSE?

SNI darbojas visās paÅ”reizējās un atbalstÄ«tajās Zimbra OSE versijās. Ja jums ir Zimbra Open-Source, kas darbojas vairāku serveru infrastruktÅ«rā, jums bÅ«s jāveic visas tālāk norādÄ«tās darbÄ«bas mezglā, kurā ir instalēts Zimbra starpniekserveris. Turklāt jums bÅ«s nepiecieÅ”ami atbilstoÅ”i sertifikātu un atslēgu pāri, kā arÄ« uzticamas sertifikātu ķēdes no jÅ«su CA katram domēnam, kuru vēlaties mitināt savā IPv4 adresē. LÅ«dzu, ņemiet vērā, ka lielākā daļa kļūdu, kas rodas, iestatot SNI Zimbra OSE, ir tieÅ”i nepareizi faili ar sertifikātiem. Tāpēc mēs iesakām rÅ«pÄ«gi pārbaudÄ«t visu pirms to tieÅ”as instalÄ“Å”anas.

Pirmkārt, lai SNI darbotos normāli, jums jāievada komanda zmprov mcf zimbraReverseProxySNIEIespējots TRUE Zimbra starpniekservera mezglā un pēc tam restartējiet starpniekservera pakalpojumu, izmantojot komandu zmproxyctl restartēt.

Mēs sāksim ar domēna nosaukuma izveidi. Piemēram, mēs ņemsim domēnu company.ru un pēc tam, kad domēns jau būs izveidots, mēs izlemsim par Zimbra virtuālā resursdatora nosaukumu un virtuālo IP adresi. Lūdzu, ņemiet vērā, ka Zimbra virtuālā saimniekdatora nosaukumam ir jāsakrīt ar nosaukumu, kas lietotājam jāievada pārlūkprogrammā, lai piekļūtu domēnam, kā arī jāatbilst sertifikātā norādītajam nosaukumam. Piemēram, pieņemsim Zimbra kā virtuālā saimniekdatora nosaukumu mail.company.ru, un kā virtuālo IPv4 adresi mēs izmantojam adresi 1.2.3.4.

Pēc tam vienkārÅ”i ievadiet komandu zmprov md company.ru zimbraVirtualHostName pasts.company.ru zimbraVirtualIPAdrese 1.2.3.4lai saistÄ«tu Zimbra virtuālo resursdatoru ar virtuālo IP adresi. LÅ«dzu, ņemiet vērā: ja serveris atrodas aiz NAT vai ugunsmÅ«ra, jums ir jānodroÅ”ina, lai visi domēna pieprasÄ«jumi tiktu nosÅ«tÄ«ti uz ārējo IP adresi, kas ir saistÄ«ta ar to, nevis uz tā adresi vietējā tÄ«klā.

Kad viss ir izdarÄ«ts, atliek tikai pārbaudÄ«t un sagatavot domēna sertifikātus instalÄ“Å”anai un pēc tam tos instalēt.

Ja domēna sertifikāta izsniegÅ”ana tika pabeigta pareizi, jums ir jābÅ«t trim failiem ar sertifikātiem: divi no tiem ir jÅ«su sertifikācijas iestādes sertifikātu ķēdes, bet viens ir tieÅ”ais domēna sertifikāts. Turklāt jums ir jābÅ«t failam ar atslēgu, kuru izmantojāt sertifikāta iegÅ«Å”anai. Izveidojiet atseviŔķu mapi /tmp/company.ru un ievietojiet tur visus pieejamos failus ar atslēgām un sertifikātiem. Gala rezultātam vajadzētu bÅ«t apmēram Ŕādam:

ls /tmp/company.ru
company.ru.key
 company.ru.crt
 company.ru.root.crt
 company.ru.intermediate.crt

Pēc tam mēs apvienosim sertifikātu ķēdes vienā failā, izmantojot komandu kaÄ·u uzņēmums.ru.root.crt uzņēmums.ru.intermediate.crt >> uzņēmums.ru_ca.crt un pārliecinieties, ka ar sertifikātiem viss ir kārtÄ«bā, izmantojot komandu /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Kad sertifikāti un atslēga ir veiksmÄ«gi pārbaudÄ«ti, varat sākt to instalÄ“Å”anu.

Lai sāktu instalÄ“Å”anu, mēs vispirms apvienosim domēna sertifikātu un uzticamās ķēdes no sertifikācijas iestādēm vienā failā. To var izdarÄ«t arÄ«, izmantojot vienu komandu, piemēram cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Pēc tam jums ir jāpalaiž komanda, lai ierakstÄ«tu visus sertifikātus un atslēgu LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyun pēc tam instalējiet sertifikātus, izmantojot komandu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Pēc instalÄ“Å”anas sertifikāti un domēna company.ru atslēga tiks saglabāti mapē /opt/zimbra/conf/domaincerts/company.ru

Atkārtojot Ŕīs darbÄ«bas, izmantojot dažādus domēna nosaukumus, bet vienu un to paÅ”u IP adresi, ir iespējams mitināt vairākus simtus domēnu vienā IPv4 adresē. Å ajā gadÄ«jumā bez problēmām varat izmantot dažādu izdoÅ”anas centru sertifikātus. Visu veikto darbÄ«bu pareizÄ«bu varat pārbaudÄ«t jebkurā pārlÅ«kprogrammā, kur katram virtuālā resursdatora nosaukumam ir jāparāda savs SSL sertifikāts. 

Par visiem jautājumiem, kas saistīti ar Zextras Suite, varat sazināties ar Zextras pārstāvi Jekaterinu Triandafilidi pa e-pastu [e-pasts aizsargāts]

Avots: www.habr.com

Pievieno komentāru