Pada permulaan abad ke-21, sumber seperti alamat IPv4 berada di ambang keletihan. Kembali pada tahun 2011, IANA memperuntukkan lima baki /8 blok terakhir ruang alamatnya kepada pendaftar Internet serantau, dan sudah pada tahun 2017 mereka kehabisan alamat. Jawapan kepada kekurangan bencana alamat IPv4 bukan sahaja kemunculan protokol IPv6, tetapi juga teknologi SNI, yang memungkinkan untuk menjadi tuan rumah sejumlah besar laman web pada satu alamat IPv4. Intipati SNI ialah sambungan ini membolehkan pelanggan, semasa proses jabat tangan, memberitahu pelayan nama tapak yang ingin disambungkan. Ini membolehkan pelayan menyimpan berbilang sijil, yang bermaksud bahawa berbilang domain boleh beroperasi pada satu alamat IP. Teknologi SNI telah menjadi sangat popular di kalangan penyedia SaaS perniagaan, yang mempunyai peluang untuk mengehoskan bilangan domain yang hampir tidak terhad tanpa mengambil kira bilangan alamat IPv4 yang diperlukan untuk ini. Mari ketahui cara anda boleh melaksanakan sokongan SNI dalam Zimbra Collaboration Suite Edisi Sumber Terbuka.
SNI berfungsi dalam semua versi Zimbra OSE semasa dan disokong. Jika anda mempunyai Zimbra Open-Source yang dijalankan pada infrastruktur berbilang pelayan, anda perlu melakukan semua langkah di bawah pada nod dengan pelayan Proksi Zimbra dipasang. Selain itu, anda memerlukan sijil+pasangan kunci yang sepadan, serta rantaian sijil yang dipercayai daripada CA anda untuk setiap domain yang anda ingin hos pada alamat IPv4 anda. Sila ambil perhatian bahawa punca sebahagian besar ralat semasa menyediakan SNI dalam Zimbra OSE ialah fail yang tidak betul dengan sijil. Oleh itu, kami menasihati anda untuk menyemak segala-galanya dengan teliti sebelum memasangnya secara langsung.
Pertama sekali, agar SNI berfungsi dengan normal, anda perlu memasukkan arahan zmprov mcf zimbraReverseProxySNIEnabled TRUE pada nod proksi Zimbra, dan kemudian mulakan semula perkhidmatan Proksi menggunakan arahan zmproxyctl mulakan semula.
Kita akan mulakan dengan mencipta nama domain. Sebagai contoh, kami akan mengambil domain syarikat.ru dan, selepas domain telah dibuat, kami akan memutuskan nama hos maya Zimbra dan alamat IP maya. Sila ambil perhatian bahawa nama hos maya Zimbra mesti sepadan dengan nama yang pengguna mesti masukkan dalam penyemak imbas untuk mengakses domain, dan juga sepadan dengan nama yang dinyatakan dalam sijil. Sebagai contoh, mari kita ambil Zimbra sebagai nama hos maya mail.company.ru, dan sebagai alamat IPv4 maya kami menggunakan alamat tersebut 1.2.3.4.
Selepas ini, masukkan sahaja arahan zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4untuk mengikat hos maya Zimbra ke alamat IP maya. Sila ambil perhatian bahawa jika pelayan terletak di belakang NAT atau tembok api, anda mesti memastikan bahawa semua permintaan kepada domain pergi ke alamat IP luaran yang dikaitkan dengannya, dan bukan ke alamatnya pada rangkaian tempatan.
Selepas semuanya selesai, yang tinggal hanyalah menyemak dan menyediakan sijil domain untuk pemasangan, dan kemudian memasangnya.
Jika pengeluaran sijil domain telah dilengkapkan dengan betul, anda sepatutnya mempunyai tiga fail dengan sijil: dua daripadanya ialah rangkaian sijil daripada pihak berkuasa pensijilan anda dan satu ialah sijil langsung untuk domain tersebut. Selain itu, anda mesti mempunyai fail dengan kunci yang anda gunakan untuk mendapatkan sijil. Buat folder berasingan /tmp/company.ru dan letakkan semua fail sedia ada dengan kunci dan sijil di sana. Hasil akhir sepatutnya seperti ini:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtSelepas ini, kami akan menggabungkan rantai sijil ke dalam satu fail menggunakan arahan syarikat kucing.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt dan pastikan semuanya teratur dengan sijil menggunakan arahan /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Selepas pengesahan sijil dan kunci berjaya, anda boleh mula memasangnya.
Untuk memulakan pemasangan, kami akan menggabungkan sijil domain dan rantaian dipercayai daripada pihak berkuasa pensijilan dahulu ke dalam satu fail. Ini juga boleh dilakukan menggunakan satu arahan seperti syarikat kucing.ru.crt company.ru_ca.crt >> company.ru.bundle. Selepas ini, anda perlu menjalankan arahan untuk menulis semua sijil dan kunci kepada LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keydan kemudian pasang sijil menggunakan arahan /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Selepas pemasangan, sijil dan kunci kepada domain company.ru akan disimpan dalam folder /opt/zimbra/conf/domaincerts/company.ru.
Dengan mengulangi langkah ini menggunakan nama domain yang berbeza tetapi alamat IP yang sama, adalah mungkin untuk mengehoskan beberapa ratus domain pada satu alamat IPv4. Dalam kes ini, anda boleh menggunakan sijil daripada pelbagai pusat pengeluaran tanpa sebarang masalah. Anda boleh menyemak ketepatan semua tindakan yang dilakukan dalam mana-mana penyemak imbas, di mana setiap nama hos maya harus memaparkan sijil SSLnya sendiri.
Untuk semua soalan berkaitan Zextras Suite, anda boleh menghubungi Wakil Zextras Ekaterina Triandafilidi melalui e-mel [e-mel dilindungi]
Sumber: www.habr.com