På begynnelsen av det 21. århundre er en ressurs som IPv4-adresser på grensen til utmattelse. Tilbake i 2011 allokerte IANA de siste fem gjenværende /8-blokkene av adresseområdet til regionale Internett-registratorer, og allerede i 2017 gikk de tom for adresser. Svaret på den katastrofale mangelen på IPv4-adresser var ikke bare fremveksten av IPv6-protokollen, men også SNI-teknologien, som gjorde det mulig å være vert for et stort antall nettsteder på en enkelt IPv4-adresse. Essensen av SNI er at denne utvidelsen lar klienter, under håndtrykkprosessen, fortelle serveren navnet på nettstedet den ønsker å koble seg til. Dette gjør at serveren kan lagre flere sertifikater, noe som betyr at flere domener kan operere på én IP-adresse. SNI-teknologi har blitt spesielt populær blant SaaS-leverandører for bedrifter, som har muligheten til å være vert for et nesten ubegrenset antall domener uten hensyn til antall IPv4-adresser som kreves for dette. La oss finne ut hvordan du kan implementere SNI-støtte i Zimbra Collaboration Suite Open-Source Edition.
SNI fungerer i alle gjeldende og støttede versjoner av Zimbra OSE. Hvis du har Zimbra Open-Source som kjører på en multi-server-infrastruktur, må du utføre alle trinnene nedenfor på en node med Zimbra Proxy-serveren installert. I tillegg trenger du matchende sertifikat+nøkkelpar, samt pålitelige sertifikatkjeder fra CA for hvert av domenene du vil være vert for på IPv4-adressen din. Vær oppmerksom på at årsaken til de aller fleste feilene ved oppsett av SNI i Zimbra OSE er nettopp feil filer med sertifikater. Derfor anbefaler vi deg å sjekke alt nøye før du installerer dem direkte.
Først av alt, for at SNI skal fungere normalt, må du skrive inn kommandoen zmprov mcf zimbraReverseProxySNIEnabled TRUE på Zimbra proxy-noden, og start deretter proxy-tjenesten på nytt ved å bruke kommandoen zmproxyctl omstart.
Vi starter med å opprette et domenenavn. For eksempel vil vi ta domenet company.ru og etter at domenet allerede er opprettet, vil vi bestemme oss for Zimbras virtuelle vertsnavn og virtuelle IP-adresse. Vær oppmerksom på at Zimbra virtuelle vertsnavn må samsvare med navnet som brukeren må angi i nettleseren for å få tilgang til domenet, og også samsvare med navnet spesifisert i sertifikatet. La oss for eksempel ta Zimbra som det virtuelle vertsnavnet mail.company.ru, og som en virtuell IPv4-adresse bruker vi adressen 1.2.3.4.
Etter dette, bare skriv inn kommandoen zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4å binde den virtuelle Zimbra-verten til en virtuell IP-adresse. Vær oppmerksom på at hvis serveren er plassert bak en NAT eller brannmur, må du sørge for at alle forespørsler til domenet går til den eksterne IP-adressen som er knyttet til det, og ikke til adressen på det lokale nettverket.
Etter at alt er gjort, gjenstår det bare å sjekke og klargjøre domene-sertifikatene for installasjon, og deretter installere dem.
Hvis utstedelsen av et domene-sertifikat ble fullført på riktig måte, bør du ha tre filer med sertifikater: to av dem er kjeder av sertifikater fra sertifiseringsmyndigheten din, og en er et direkte sertifikat for domenet. I tillegg må du ha en fil med nøkkelen du brukte for å få sertifikatet. Opprett en egen mappe /tmp/company.ru og plasser alle tilgjengelige filer med nøkler og sertifikater der. Sluttresultatet bør være noe slikt:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtEtter dette vil vi kombinere sertifikatkjedene til én fil ved hjelp av kommandoen cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt og sørg for at alt er i orden med sertifikatene ved hjelp av kommandoen /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Etter at verifiseringen av sertifikatene og nøkkelen er vellykket, kan du begynne å installere dem.
For å starte installasjonen vil vi først kombinere domene-sertifikatet og pålitelige kjeder fra sertifiseringsmyndighetene til én fil. Dette kan også gjøres ved å bruke en kommando som cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Etter dette må du kjøre kommandoen for å skrive alle sertifikatene og nøkkelen til LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyog installer deretter sertifikatene ved hjelp av kommandoen /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Etter installasjonen vil sertifikatene og nøkkelen til company.ru-domenet bli lagret i mappen /opt/zimbra/conf/domaincerts/company.ru.
Ved å gjenta disse trinnene med forskjellige domenenavn, men samme IP-adresse, er det mulig å være vert for flere hundre domener på én enkelt IPv4-adresse. I dette tilfellet kan du bruke sertifikater fra en rekke utstedelsessentre uten problemer. Du kan sjekke riktigheten av alle handlinger som utføres i en hvilken som helst nettleser, der hvert virtuelle vertsnavn skal vise sitt eget SSL-sertifikat.
For alle spørsmål relatert til Zextras Suite, kan du kontakte representanten for Zextras Ekaterina Triandafilidi på e-post [e-postbeskyttet]
Kilde: www.habr.com