Aan het begin van de 21e eeuw staat een hulpbron als IPv4-adressen op de rand van uitputting. In 2011 heeft IANA de laatste vijf resterende /8 blokken van zijn adresruimte toegewezen aan regionale internetregistrars, en al in 2017 hadden ze geen adressen meer. Het antwoord op het catastrofale tekort aan IPv4-adressen was niet alleen de opkomst van het IPv6-protocol, maar ook de SNI-technologie, die het mogelijk maakte om een groot aantal websites op één IPv4-adres te hosten. De essentie van SNI is dat deze extensie clients in staat stelt om tijdens het handshake-proces de server de naam te vertellen van de site waarmee deze verbinding wil maken. Hierdoor kan de server meerdere certificaten opslaan, waardoor meerdere domeinen op één IP-adres kunnen werken. SNI-technologie is vooral populair geworden onder zakelijke SaaS-aanbieders, die de mogelijkheid hebben om een vrijwel onbeperkt aantal domeinen te hosten, ongeacht het aantal daarvoor benodigde IPv4-adressen. Laten we eens kijken hoe u SNI-ondersteuning kunt implementeren in Zimbra Collaboration Suite Open-Source Edition.
SNI werkt in alle huidige en ondersteunde versies van Zimbra OSE. Als je Zimbra Open-Source op een infrastructuur met meerdere servers hebt draaien, moet je alle onderstaande stappen uitvoeren op een knooppunt waarop de Zimbra Proxy-server is geïnstalleerd. Bovendien heeft u overeenkomende certificaat-sleutelparen nodig, evenals vertrouwde certificaatketens van uw CA voor elk van de domeinen die u op uw IPv4-adres wilt hosten. Houd er rekening mee dat de oorzaak van de overgrote meerderheid van de fouten bij het instellen van SNI in Zimbra OSE juist onjuiste bestanden met certificaten zijn. Daarom adviseren wij u om alles zorgvuldig te controleren voordat u ze direct installeert.
Om SNI normaal te laten werken, moet u eerst de opdracht invoeren zmprov mcf zimbraReverseProxySNIEnabled TRUE op het Zimbra-proxyknooppunt en start vervolgens de Proxy-service opnieuw met de opdracht zmproxyctl opnieuw opstarten.
We beginnen met het aanmaken van een domeinnaam. We nemen bijvoorbeeld het domein bedrijf.ru en nadat het domein al is aangemaakt, zullen we beslissen over de virtuele Zimbra-hostnaam en het virtuele IP-adres. Houd er rekening mee dat de virtuele Zimbra-hostnaam moet overeenkomen met de naam die de gebruiker in de browser moet invoeren om toegang te krijgen tot het domein, en ook moet overeenkomen met de naam die is opgegeven in het certificaat. Laten we bijvoorbeeld Zimbra als de virtuele hostnaam nemen mail.bedrijf.ru, en als virtueel IPv4-adres gebruiken we het adres 1.2.3.4.
Voer hierna gewoon de opdracht in zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4om de virtuele Zimbra-host aan een virtueel IP-adres te binden. Houd er rekening mee dat als de server zich achter een NAT of firewall bevindt, u ervoor moet zorgen dat alle verzoeken aan het domein naar het externe IP-adres gaan dat eraan is gekoppeld, en niet naar het adres op het lokale netwerk.
Nadat alles is gedaan, hoeft u alleen nog maar de domeincertificaten te controleren en voor te bereiden voor installatie, en ze vervolgens te installeren.
Als de uitgifte van een domeincertificaat correct is voltooid, zou u drie bestanden met certificaten moeten hebben: twee daarvan zijn ketens van certificaten van uw certificeringsinstantie en één is een direct certificaat voor het domein. Daarnaast moet u beschikken over een bestand met de sleutel waarmee u het certificaat heeft verkregen. Maak een aparte map /tmp/bedrijf.ru en plaats daar alle bestaande bestanden met sleutels en certificaten. Het eindresultaat zou ongeveer zo moeten zijn:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtHierna zullen we de certificaatketens combineren in één bestand met behulp van de opdracht cat bedrijf.ru.root.crt bedrijf.ru.intermediate.crt >> bedrijf.ru_ca.crt en zorg ervoor dat alles in orde is met de certificaten met behulp van de opdracht /opt/zimbra/bin/zmcertmgr verificatiecrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Nadat de verificatie van de certificaten en sleutel is gelukt, kunt u beginnen met de installatie ervan.
Om met de installatie te beginnen, combineren we eerst het domeincertificaat en de vertrouwde ketens van certificeringsinstanties in één bestand. Dit kan ook worden gedaan met behulp van één commando zoals cat bedrijf.ru.crt bedrijf.ru_ca.crt >> bedrijf.ru.bundle. Hierna moet u de opdracht uitvoeren om alle certificaten en de sleutel naar LDAP te schrijven: /opt/zimbra/libexec/zmdomaincertmgr savecrt bedrijf.ru bedrijf.ru.bundle bedrijf.ru.keyen installeer vervolgens de certificaten met behulp van de opdracht /opt/zimbra/libexec/zmdomaincertmgr implementcrts. Na installatie worden de certificaten en de sleutel van het company.ru-domein in de map opgeslagen /opt/zimbra/conf/domaincerts/company.ru.
Door deze stappen te herhalen met verschillende domeinnamen maar hetzelfde IP-adres, is het mogelijk om honderden domeinen op één IPv4-adres te hosten. In dit geval kunt u zonder problemen certificaten van verschillende uitgiftecentra gebruiken. U kunt de juistheid van alle uitgevoerde acties in elke browser controleren, waarbij elke virtuele hostnaam zijn eigen SSL-certificaat moet weergeven.
Voor alle vragen met betrekking tot Zextras Suite kunt u per e-mail contact opnemen met de vertegenwoordiger van Zextras Ekaterina Triandafilidi [e-mail beveiligd]
Bron: www.habr.com