ProHoster > Blog > fitantanan-draharaha > Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Ny tanjaky ny encryption dia iray amin'ireo tondro manan-danja indrindra amin'ny fampiasana rafitra fampahalalam-baovao ho an'ny orinasa, satria isan'andro izy ireo dia mandray anjara amin'ny famindrana fampahalalana tsiambaratelo be dia be. Ny fomba ekena amin'ny ankapobeny hanombanana ny kalitaon'ny fifandraisana SSL dia fitsapana mahaleo tena avy amin'ny Qualys SSL Labs. Satria io fitsapana io dia azon'ny rehetra atao, dia zava-dehibe indrindra ho an'ny mpamatsy SaaS ny hahazo ny isa ambony indrindra amin'ity fitsapana ity. Tsy ny mpamatsy SaaS ihany, fa ny orinasa tsotra ihany koa dia mikarakara ny kalitaon'ny fifandraisana SSL. Ho azy ireo, ity fitsapana ity dia fotoana tena tsara hamantarana ireo fahalemena mety hitranga ary hanakatona mialoha ny banga rehetra ho an'ny mpanao heloka bevava an-tserasera.

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition
Zimbra OSE dia mamela karazana SSL roa karazana. Ny voalohany dia taratasy fanamarinana nosoniavin'ny tena izay ampiana ho azy mandritra ny fametrahana. Maimaimpoana ity taratasy fanamarinana ity ary tsy misy fe-potoana, ka mahatonga azy io ho tsara indrindra amin'ny fitiliana Zimbra OSE na hampiasa azy manokana ao anaty tambajotra anatiny. Na izany aza, rehefa miditra ao amin'ny mpanjifa tranonkala, ny mpampiasa dia hahita fampitandremana avy amin'ny navigateur fa tsy azo itokisana ity taratasy fanamarinana ity, ary ny mpizara anao dia tsy hahomby amin'ny fitsapana avy amin'ny Qualys SSL Labs.

Ny faharoa dia taratasy fanamarinana SSL ara-barotra nosoniavin'ny manampahefana fanamarinana. Ny fanamarinana toy izany dia mora eken'ny mpitety tranonkala ary matetika ampiasaina amin'ny fampiasana ara-barotra ny Zimbra OSE. Avy hatrany taorian'ny fametrahana marina ny taratasy fanamarinana ara-barotra, Zimbra OSE 8.8.15 dia mampiseho isa A amin'ny fitsapana avy amin'ny Qualys SSL Labs. Vokany tena tsara izany, fa ny tanjonay dia ny hahazoana vokatra A+.

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Mba hahazoana ny isa ambony indrindra amin'ny fitsapana avy amin'ny Qualys SSL Labs rehefa mampiasa Zimbra Collaboration Suite Open-Source Edition, dia tsy maintsy mamita dingana maromaro ianao:

1. Fampitomboana ny mari-pamantarana ny protocol Diffie-Hellman

Amin'ny alΓ lan'ny default, ny singa Zimbra OSE 8.8.15 rehetra mampiasa OpenSSL dia manana fikandrana protocol Diffie-Hellman napetraka amin'ny 2048 bits. Amin'ny ankapobeny dia mihoatra ny ampy izany hahazoana isa A+ amin'ny fitsapana avy amin'ny Qualys SSL Labs. Na izany aza, raha manavao avy amin'ny dikan-teny taloha ianao dia mety ho ambany kokoa ny fanovana. Noho izany, dia soso-kevitra fa rehefa vita ny fanavaozana dia araho ny baiko zmdhparam set -new 2048, izay hampitombo ny mari-pamantarana ny protocol Diffie-Hellman amin'ny bits 2048 azo ekena, ary raha tianao, dia azonao atao ny mampitombo ny baiko mitovy. ny sandan'ny masontsivana amin'ny 3072 na 4096 bits, izay amin'ny lafiny iray dia hitarika ho amin'ny fitomboan'ny fotoana taranaka, fa amin'ny lafiny iray hafa dia hisy fiantraikany tsara eo amin'ny haavon'ny fiarovana ny mail server.

2. Anisan'izany ny lisitry ny ciphers ampiasaina

Amin'ny alΓ lan'ny default, ny Zimbra Collaborataion Suite Open-Source Edition dia manohana karazana cipher matanjaka sy malemy, izay manidy angona mandalo amin'ny fifandraisana azo antoka. Na izany aza, ny fampiasana cipher malemy dia fatiantoka lehibe rehefa manamarina ny fiarovana ny fifandraisana SSL. Mba hisorohana an'izany dia mila manamboatra ny lisitry ny ciphers ampiasaina ianao.

Mba hanaovana izany, ampiasao ny baiko zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

Ity baiko ity dia ahitana andiana ciphers atolotra avy hatrany ary noho izany dia afaka mampiditra cipher azo itokisana avy hatrany ao anaty lisitra ny baiko ary manilika ireo tsy azo ianteherana. Ny hany sisa tavela dia ny mamerina indray ny node proxy mivadika amin'ny alΓ lan'ny zmproxyctl restart command. Aorian'ny famerenana indray dia hisy fiantraikany ny fanovana natao.

Raha toa ka tsy mety aminao ity lisitra ity noho ny antony iray na hafa, dia azonao atao ny manaisotra ciphers malemy maromaro amin'ny fampiasana ny baiko. zmprov mcf +zimbraSSLExcludeCipherSuites. Noho izany, ohatra, ny baiko zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, izay hanafoana tanteraka ny fampiasana cipher RC4. Toy izany koa no azo atao amin'ny cipher AES sy 3DES.

3. Alefaso ny HSTS

Ilaina ihany koa ny mekanika azo ampiasaina hanerena ny fanafenana fifandraisana sy ny famerenana ny session TLS mba hahazoana isa tonga lafatra amin'ny fitsapana Qualys SSL Labs. Mba hahatonga azy ireo tsy maintsy miditra ny baiko ianao zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ity baiko ity dia hanampy ny lohapejy ilaina amin'ny fanamafisana, ary raha te hanan-kery ny fanovana vaovao dia tsy maintsy averinao indray ny Zimbra OSE amin'ny fampiasana ny baiko. manomboka indray ny zmcontrol.

Efa amin'ity dingana ity, ny fitsapana avy amin'ny Qualys SSL Labs dia hampiseho isa A+, fa raha te hanatsara bebe kokoa ny fiarovana ny mpizara ianao, dia misy fepetra hafa azonao raisina.

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Ohatra, azonao atao ny mamela ny encryption an-tery ny fifandraisana inter-process, ary azonao atao koa ny mamela ny encryption an-tery rehefa mifandray amin'ny serivisy Zimbra OSE. Raha hijery ny fifandraisana interprocess dia ampidiro ireto baiko manaraka ireto:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

Mba hahafahan'ny encryption an-tery dia mila miditra ianao:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Noho ireo baiko ireo, ny fifandraisana rehetra amin'ny mpizara proxy sy ny mpizara mailaka dia ho voarakotra, ary ireo fifandraisana rehetra ireo dia hosoloina.

Fanatsarana ny fiarovana ny fifandraisana SSL ao amin'ny Zimbra Collaboration Suite Open-Source Edition

Noho izany, manaraka ny tolo-kevitray, tsy azonao atao fotsiny ny mahatratra ny isa ambony indrindra amin'ny fitsapana fiarovana amin'ny fifandraisana SSL, fa koa mampitombo be ny fiarovana ny fotodrafitrasa Zimbra OSE manontolo.

Ho an'ny fanontaniana rehetra mifandraika amin'ny Zextras Suite, azonao atao ny mifandray amin'ny solontenan'ny Zextras Ekaterina Triandafilidi amin'ny alΓ lan'ny mailaka. [email voaaro]

Source: www.habr.com

Add a comment