Na początku XXI wieku zasób, jakim są adresy IPv21, jest bliski wyczerpania. Jeszcze w 4 roku IANA przydzieliła ostatnie pięć pozostałych /2011 bloków swojej przestrzeni adresowej regionalnym rejestratorom internetowym, a już w 8 roku zabrakło im adresów. Odpowiedzią na katastrofalny niedobór adresów IPv2017 było nie tylko pojawienie się protokołu IPv4, ale także technologii SNI, która umożliwiła hostowanie ogromnej liczby stron internetowych pod jednym adresem IPv6. Istotą SNI jest to, że to rozszerzenie pozwala klientom podczas procesu uzgadniania podać serwerowi nazwę witryny, z którą chce się połączyć. Dzięki temu serwer może przechowywać wiele certyfikatów, co oznacza, że na jednym adresie IP może działać wiele domen. Technologia SNI stała się szczególnie popularna wśród biznesowych dostawców SaaS, którzy mają możliwość hostowania niemal nieograniczonej liczby domen bez względu na wymaganą do tego liczbę adresów IPv4. Dowiedzmy się, jak wdrożyć obsługę SNI w Zimbra Collaboration Suite Open-Source Edition.
SNI działa we wszystkich aktualnych i obsługiwanych wersjach Zimbra OSE. Jeśli posiadasz Zimbra Open-Source działającą w infrastrukturze wieloserwerowej, będziesz musiał wykonać wszystkie poniższe kroki na węźle z zainstalowanym serwerem Zimbra Proxy. Ponadto będziesz potrzebować pasujących par certyfikat + klucz, a także zaufanych łańcuchów certyfikatów z urzędu certyfikacji dla każdej domeny, którą chcesz hostować na swoim adresie IPv4. Należy pamiętać, że przyczyną zdecydowanej większości błędów podczas konfigurowania SNI w Zimbra OSE są właśnie nieprawidłowe pliki z certyfikatami. Dlatego zalecamy dokładne sprawdzenie wszystkiego przed bezpośrednią instalacją.
Przede wszystkim, aby SNI działał normalnie, musisz wprowadzić polecenie zmprov mcf zimbraReverseProxySNIEnabled TRUE w węźle proxy Zimbra, a następnie uruchom ponownie usługę proxy za pomocą polecenia zmproxyctl uruchom ponownie.
Zaczniemy od utworzenia nazwy domeny. Weźmy na przykład domenę firma.ru a po utworzeniu domeny podejmiemy decyzję o nazwie wirtualnego hosta Zimbra i wirtualnym adresie IP. Należy pamiętać, że nazwa hosta wirtualnego Zimbra musi odpowiadać nazwie, którą użytkownik musi wprowadzić w przeglądarce, aby uzyskać dostęp do domeny, a także odpowiadać nazwie określonej w certyfikacie. Weźmy na przykład Zimbra jako nazwę hosta wirtualnego poczta.firma.ru, a jako wirtualny adres IPv4 używamy adresu 1.2.3.4.
Następnie wystarczy wpisać polecenie zmprov md Company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4aby powiązać hosta wirtualnego Zimbra z wirtualnym adresem IP. Należy pamiętać, że jeśli serwer znajduje się za NAT lub zaporą sieciową, należy zadbać o to, aby wszystkie żądania kierowane do domeny trafiały na powiązany z nią zewnętrzny adres IP, a nie na jej adres w sieci lokalnej.
Gdy wszystko jest już gotowe, pozostaje jedynie sprawdzić i przygotować certyfikaty domeny do instalacji, a następnie je zainstalować.
Jeżeli wystawienie certyfikatu domeny przebiegło poprawnie, powinieneś mieć trzy pliki z certyfikatami: dwa z nich to łańcuchy certyfikatów z Twojego urzędu certyfikacji, a jeden to bezpośredni certyfikat dla domeny. Dodatkowo musisz posiadać plik z kluczem, którym uzyskałeś certyfikat. Utwórz osobny folder /tmp/company.ru i umieść tam wszystkie istniejące pliki z kluczami i certyfikatami. Efekt końcowy powinien wyglądać mniej więcej tak:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtNastępnie połączymy łańcuchy certyfikatów w jeden plik za pomocą polecenia kot firma.ru.root.crt firma.ru.intermediate.crt >> firma.ru_ca.crt i upewnij się, że wszystko jest w porządku z certyfikatami za pomocą polecenia /opt/zimbra/bin/zmcertmgr zweryfikowaćcrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Po pomyślnej weryfikacji certyfikatów i klucza możesz rozpocząć ich instalację.
Aby rozpocząć instalację, najpierw połączymy w jeden plik certyfikat domeny i zaufane łańcuchy z urzędów certyfikacji. Można to również zrobić za pomocą jednego polecenia, np kot firma.ru.crt firma.ru_ca.crt >> firma.ru.bundle. Następnie musisz uruchomić polecenie, aby zapisać wszystkie certyfikaty i klucz do LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt Company.ru Company.ru.bundle Company.ru.keya następnie zainstaluj certyfikaty za pomocą polecenia /opt/zimbra/libexec/zmdomaincertmgr wdrażacrts. Po instalacji certyfikaty i klucz do domeny firma.ru zostaną zapisane w folderze /opt/zimbra/conf/domaincerts/company.ru.
Powtarzając te kroki, używając różnych nazw domen, ale tego samego adresu IP, możliwe jest hostowanie kilkuset domen na jednym adresie IPv4. W takim przypadku możesz bez problemu korzystać z certyfikatów z różnych ośrodków wydających. Poprawność wszystkich czynności wykonywanych w dowolnej przeglądarce możesz sprawdzić, gdzie każda nazwa wirtualnego hosta powinna wyświetlać swój własny certyfikat SSL.
W przypadku wszystkich pytań związanych z Zextras Suite, możesz skontaktować się z przedstawicielem Zextras Ekaterina Triandafilidi przez e-mail [email chroniony]
Źródło: www.habr.com