Fil-bidu tas-seklu 21, riżorsa bħall-indirizzi IPv4 tinsab fil-ponta tal-eżawriment. Lura fl-2011, IANA allokat l-aħħar ħames /8 blokki li kien fadal tal-ispazju tal-indirizzi tagħha lir-reġistraturi reġjonali tal-Internet, u diġà fl-2017 spiċċaw mingħajr indirizzi. It-tweġiba għan-nuqqas katastrofiku ta 'indirizzi IPv4 ma kinitx biss l-emerġenza tal-protokoll IPv6, iżda wkoll it-teknoloġija SNI, li għamlitha possibbli li tospita numru kbir ta' websajts fuq indirizz IPv4 wieħed. L-essenza ta 'SNI hija li din l-estensjoni tippermetti lill-klijenti, matul il-proċess ta' handshake, biex jgħidu lis-server l-isem tas-sit li jrid jgħaqqad miegħu. Dan jippermetti lis-server jaħżen ċertifikati multipli, li jfisser li oqsma multipli jistgħu joperaw fuq indirizz IP wieħed. It-teknoloġija SNI saret popolari b'mod speċjali fost il-fornituri tan-negozju SaaS, li għandhom l-opportunità li jospitaw numru kważi illimitat ta 'dominji mingħajr ma jitqies in-numru ta' indirizzi IPv4 meħtieġa għal dan. Ejja nsiru nafu kif tista' timplimenta l-appoġġ SNI f'Zimbra Collaboration Suite Open-Source Edition.
SNI jaħdem fil-verżjonijiet kurrenti u appoġġjati kollha ta 'Zimbra OSE. Jekk għandek Zimbra Open-Source taħdem fuq infrastruttura multi-server, ser ikollok bżonn twettaq il-passi kollha hawn taħt fuq node bis-server Zimbra Proxy installat. Barra minn hekk, ser ikollok bżonn pari ta' ċertifikat+ċavetta li jaqblu, kif ukoll ktajjen ta' ċertifikati fdati mis-CA tiegħek għal kull wieħed mid-dominji li trid tospita fuq l-indirizz IPv4 tiegħek. Jekk jogħġbok innota li l-kawża tal-maġġoranza l-kbira tal-iżbalji meta twaqqaf SNI f'Zimbra OSE hija preċiżament fajls mhux korretti b'ċertifikati. Għalhekk, aħna nagħtuk parir biex tiċċekkja kollox bir-reqqa qabel tinstallahom direttament.
L-ewwelnett, sabiex l-SNI jaħdem b'mod normali, trid tidħol fil-kmand zmprov mcf zimbraReverseProxySNIEnabled VERU fuq in-node tal-prokura Zimbra, u mbagħad terġa 'tibda s-servizz tal-Prokura billi tuża l-kmand zmproxyctl jerġa' jibda.
Nibdew billi noħolqu isem tad-dominju. Pereżempju, se nieħdu d-dominju kumpanija.ru u, wara li d-dominju jkun diġà nħoloq, aħna niddeċiedu dwar l-isem tal-host virtwali ta’ Zimbra u l-indirizz IP virtwali. Jekk jogħġbok innota li l-isem tal-host virtwali ta' Zimbra għandu jaqbel mal-isem li l-utent irid idaħħal fil-browser biex jaċċessa d-dominju, u jaqbel ukoll mal-isem speċifikat fiċ-ċertifikat. Pereżempju, ejja nieħdu lil Zimbra bħala l-isem tal-host virtwali mail.company.ru, u bħala indirizz IPv4 virtwali nużaw l-indirizz 1.2.3.4.
Wara dan, daħħal biss il-kmand zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4biex torbot lill-host virtwali ta' Zimbra ma' indirizz IP virtwali. Jekk jogħġbok innota li jekk is-server jinsab wara NAT jew firewall, trid tiżgura li t-talbiet kollha lid-dominju jmorru għall-indirizz IP estern assoċjat miegħu, u mhux għall-indirizz tiegħu fuq in-netwerk lokali.
Wara li jsir kollox, dak kollu li jibqa 'huwa li tiċċekkja u tipprepara ċ-ċertifikati tad-dominju għall-installazzjoni, u mbagħad tinstallahom.
Jekk il-ħruġ ta 'ċertifikat tad-dominju tlestiet b'mod korrett, għandu jkollok tliet fajls b'ċertifikati: tnejn minnhom huma ktajjen ta' ċertifikati mill-awtorità taċ-ċertifikazzjoni tiegħek, u wieħed huwa ċertifikat dirett għad-dominju. Barra minn hekk, irid ikollok fajl biċ-ċavetta li użajt biex tikseb iċ-ċertifikat. Oħloq folder separat /tmp/company.ru u poġġi hemm il-fajls kollha eżistenti biċ-ċwievet u ċ-ċertifikati. Ir-riżultat aħħari għandu jkun xi ħaġa bħal din:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtWara dan, aħna se ngħaqqdu l-ktajjen taċ-ċertifikati f'fajl wieħed bl-użu tal-kmand cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt u kun żgur li kollox huwa fl-ordni maċ-ċertifikati bl-użu tal-kmand /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Wara li l-verifika taċ-ċertifikati u ċ-ċavetta tkun suċċess, tista 'tibda tinstallahom.
Sabiex nibdew l-installazzjoni, l-ewwel se ngħaqqdu ċ-ċertifikat tad-dominju u l-ktajjen ta 'fiduċja mill-awtoritajiet taċ-ċertifikazzjoni f'fajl wieħed. Dan jista 'jsir ukoll bl-użu ta' kmand wieħed bħal cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Wara dan, għandek bżonn tmexxi l-kmand sabiex tikteb iċ-ċertifikati kollha u ċ-ċavetta għal LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyu mbagħad installa ċ-ċertifikati billi tuża l-kmand /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Wara l-installazzjoni, iċ-ċertifikati u ċ-ċavetta għad-dominju company.ru se jinħażnu fil-folder /opt/zimbra/conf/domaincerts/company.ru.
Billi tirrepeti dawn il-passi bl-użu ta' ismijiet ta' dominju differenti iżda l-istess indirizz IP, huwa possibbli li tospita diversi mijiet ta' dominji fuq indirizz IPv4 wieħed. F'dan il-każ, tista 'tuża ċertifikati minn varjetà ta' ċentri li joħorġu mingħajr problemi. Tista' tiċċekkja l-korrettezza tal-azzjonijiet kollha mwettqa fi kwalunkwe browser, fejn kull isem tal-host virtwali għandu juri ċ-ċertifikat SSL tiegħu stess.
Għall-mistoqsijiet kollha relatati ma' Zextras Suite, tista' tikkuntattja lir-Rappreżentant ta' Zextras Ekaterina Triandafilidi bl-email [protett bl-email]
Sors: www.habr.com