La începutul secolului 21, o resursă precum adresele IPv4 este pe punctul de a se epuiza. În 2011, IANA a alocat ultimele cinci blocuri /8 rămase din spațiul său de adrese către registratorii regionali de internet și deja în 2017 au rămas fără adrese. Răspunsul la deficitul catastrofal de adrese IPv4 a fost nu numai apariția protocolului IPv6, ci și a tehnologiei SNI, care a făcut posibilă găzduirea unui număr mare de site-uri web pe o singură adresă IPv4. Esența SNI este că această extensie permite clienților, în timpul procesului de strângere de mână, să spună serverului numele site-ului cu care dorește să se conecteze. Acest lucru permite serverului să stocheze mai multe certificate, ceea ce înseamnă că mai multe domenii pot funcționa pe o singură adresă IP. Tehnologia SNI a devenit deosebit de populară în rândul furnizorilor SaaS de afaceri, care au posibilitatea de a găzdui un număr aproape nelimitat de domenii, indiferent de numărul de adrese IPv4 necesare pentru aceasta. Să aflăm cum puteți implementa suportul SNI în Zimbra Collaboration Suite Open-Source Edition.
SNI funcționează în toate versiunile actuale și acceptate ale Zimbra OSE. Dacă aveți Zimbra Open-Source care rulează pe o infrastructură cu mai multe servere, va trebui să efectuați toți pașii de mai jos pe un nod cu serverul proxy Zimbra instalat. În plus, veți avea nevoie de perechi de certificat+cheie corespunzătoare, precum și de lanțuri de certificate de încredere de la CA dumneavoastră pentru fiecare dintre domeniile pe care doriți să le găzduiți pe adresa IPv4. Vă rugăm să rețineți că cauza majorității mari a erorilor la configurarea SNI în Zimbra OSE sunt tocmai fișierele incorecte cu certificate. Prin urmare, vă sfătuim să verificați totul cu atenție înainte de a le instala direct.
În primul rând, pentru ca SNI să funcționeze normal, trebuie să introduceți comanda zmprov mcf zimbraReverseProxySNIEnabled TRUE pe nodul proxy Zimbra, apoi reporniți serviciul Proxy folosind comanda reporniți zmproxyctl.
Vom începe prin a crea un nume de domeniu. De exemplu, vom lua domeniul company.ru și, după ce domeniul a fost deja creat, vom decide asupra numelui de gazdă virtuală și a adresei IP virtuale Zimbra. Vă rugăm să rețineți că numele gazdei virtuale Zimbra trebuie să se potrivească cu numele pe care utilizatorul trebuie să îl introducă în browser pentru a accesa domeniul și, de asemenea, să se potrivească cu numele specificat în certificat. De exemplu, să luăm Zimbra drept nume de gazdă virtuală mail.company.ru, iar ca adresă IPv4 virtuală folosim adresa 1.2.3.4.
După aceasta, trebuie doar să introduceți comanda zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4pentru a lega gazda virtuală Zimbra la o adresă IP virtuală. Vă rugăm să rețineți că, dacă serverul este situat în spatele unui NAT sau firewall, trebuie să vă asigurați că toate solicitările către domeniu ajung la adresa IP externă asociată acestuia și nu la adresa sa din rețeaua locală.
După ce totul este făcut, tot ce rămâne este să verificați și să pregătiți certificatele de domeniu pentru instalare, apoi să le instalați.
Dacă emiterea unui certificat de domeniu a fost finalizată corect, ar trebui să aveți trei fișiere cu certificate: două dintre ele sunt lanțuri de certificate de la autoritatea dvs. de certificare, iar unul este un certificat direct pentru domeniu. În plus, trebuie să aveți un fișier cu cheia pe care ați folosit-o pentru a obține certificatul. Creați un folder separat /tmp/company.ru și plasați acolo toate fișierele disponibile cu chei și certificate. Rezultatul final ar trebui să fie cam așa:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtDupă aceasta, vom combina lanțurile de certificate într-un singur fișier folosind comanda cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt și asigurați-vă că totul este în ordine cu certificatele folosind comanda /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. După ce verificarea certificatelor și a cheii a reușit, puteți începe să le instalați.
Pentru a începe instalarea, vom combina mai întâi certificatul de domeniu și lanțurile de încredere de la autoritățile de certificare într-un singur fișier. Acest lucru se poate face și folosind o singură comandă, cum ar fi cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. După aceasta, trebuie să rulați comanda pentru a scrie toate certificatele și cheia pentru LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyși apoi instalați certificatele folosind comanda /opt/zimbra/libexec/zmdomaincertmgr deploycrts. După instalare, certificatele și cheia domeniului company.ru vor fi stocate în folder /opt/zimbra/conf/domaincerts/company.ru.
Repetând acești pași folosind nume de domenii diferite, dar aceeași adresă IP, este posibil să găzduiești câteva sute de domenii pe o singură adresă IPv4. În acest caz, puteți utiliza fără probleme certificate de la o varietate de centre emitente. Puteți verifica corectitudinea tuturor acțiunilor efectuate în orice browser, unde fiecare nume de gazdă virtuală ar trebui să afișeze propriul certificat SSL.
Pentru toate întrebările legate de Zextras Suite, puteți contacta Reprezentantul Zextras Ekaterina Triandafilidi prin e-mail [e-mail protejat]
Sursa: www.habr.com