На почетокот на 21 век, ресурс како што се IPv4 адресите е на работ на исцрпување. Уште во 2011 година, IANA ги додели последните пет преостанати /8 блока од својот адресен простор на регионалните интернет регистратори, а веќе во 2017 година тие останаа без адреси. Одговорот на катастрофалниот недостиг на IPv4 адреси не беше само појавата на протоколот IPv6, туку и технологијата SNI, која овозможи да се хостираат огромен број веб-страници на една IPv4 адреса. Суштината на SNI е дека оваа екстензија им овозможува на клиентите, за време на процесот на ракување, да му го кажат на серверот името на страницата со која сака да се поврзе. Ова му овозможува на серверот да складира повеќе сертификати, што значи дека повеќе домени можат да работат на една IP адреса. Технологијата SNI стана особено популарна меѓу деловните SaaS провајдери, кои имаат можност да хостираат речиси неограничен број домени без оглед на бројот на IPv4 адреси потребни за ова. Ајде да дознаеме како можете да ја имплементирате SNI поддршката во Zimbra Collaboration Suite со отворен код издание.
SNI работи во сите тековни и поддржани верзии на Zimbra OSE. Ако имате Zimbra Open-Source што работи на инфраструктура со повеќе сервери, ќе треба да ги извршите сите чекори подолу на јазол со инсталиран прокси-сервер Zimbra. Дополнително, ќе ви требаат соодветни парови сертификат+клуч, како и доверливи синџири на сертификати од вашиот CA за секој од домените што сакате да ги хостирате на вашата IPv4 адреса. Ве молиме имајте предвид дека причината за огромното мнозинство на грешки при поставување на SNI во Zimbra OSE се прецизно неточни датотеки со сертификати. Затоа, ве советуваме внимателно да проверите сè пред директно да ги инсталирате.
Како прво, за да може SNI да работи нормално, треба да ја внесете командата zmprov mcf zimbraReverseProxySNIEnabled TRUE на прокси-јазолот Zimbra, а потоа рестартирајте ја услугата Proxy користејќи ја командата zmproxyctl рестартирајте.
Ќе започнеме со создавање име на домен. На пример, ќе го земеме доменот company.ru и, откако доменот е веќе креиран, ќе одлучиме за името на виртуелниот хост на Zimbra и виртуелната IP адреса. Ве молиме имајте предвид дека името на виртуелниот хост Зимбра мора да одговара на името што корисникот мора да го внесе во прелистувачот за да пристапи до доменот, а исто така да одговара на името наведено во сертификатот. На пример, да го земеме Зимбра како име на виртуелен домаќин mail.company.ru, и како виртуелна IPv4 адреса ја користиме адресата 1.2.3.4.
По ова, само внесете ја командата zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAдреса 1.2.3.4да го поврзе виртуелниот хост Зимбра со виртуелна IP адреса. Имајте предвид дека ако серверот се наоѓа зад NAT или заштитен ѕид, мора да се осигурате дека сите барања до доменот одат на надворешната IP адреса поврзана со него, а не на нејзината адреса на локалната мрежа.
Откако ќе се заврши сè, останува само да се проверат и да се подготват сертификатите на доменот за инсталација, а потоа да се инсталираат.
Ако издавањето на сертификат за домен е правилно завршено, треба да имате три датотеки со сертификати: две од нив се синџири на сертификати од вашиот орган за сертификација, а едната е директен сертификат за доменот. Покрај тоа, мора да имате датотека со клучот што сте го користеле за да го добиете сертификатот. Направете посебна папка /tmp/company.ru и поставете ги сите достапни датотеки со клучеви и сертификати таму. Крајниот резултат треба да биде вака:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtПосле ова, ќе ги комбинираме синџирите на сертификати во една датотека користејќи ја командата мачка company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt и проверете дали се е во ред со сертификатите користејќи ја командата /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Откако ќе биде успешна проверката на сертификатите и клучот, можете да започнете со нивна инсталација.
За да започнеме со инсталацијата, прво ќе ги комбинираме сертификатот за домен и доверливите синџири од властите за сертификација во една датотека. Ова исто така може да се направи со помош на една команда како мачка company.ru.crt company.ru_ca.crt >> company.ru.bundle. По ова, треба да ја извршите командата за да ги напишете сите сертификати и клучот за LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyа потоа инсталирајте ги сертификатите користејќи ја командата /opt/zimbra/libexec/zmdomaincertmgr deploycrts. По инсталацијата, сертификатите и клучот за доменот company.ru ќе бидат зачувани во папката /opt/zimbra/conf/domaincerts/company.ru.
Со повторување на овие чекори користејќи различни имиња на домени, но со иста IP адреса, можно е да се хостираат неколку стотици домени на една IPv4 адреса. Во овој случај, можете да користите сертификати од различни центри за издавање без никакви проблеми. Можете да ја проверите исправноста на сите дејства извршени во кој било прелистувач, каде што секое име на виртуелен домаќин треба да го прикаже својот SSL сертификат.
За сите прашања поврзани со Zextras Suite, можете да контактирате со Претставникот на Zextras Екатерина Триандафилиди преку е-пошта [заштитена по е-пошта]
Извор: www.habr.com