Na začiatku 21. storočia je zdroj, akým sú IPv4 adresy, na pokraji vyčerpania. Ešte v roku 2011 IANA pridelila posledných päť zostávajúcich /8 blokov svojho adresného priestoru regionálnym internetovým registrátorom a už v roku 2017 im došli adresy. Odpoveďou na katastrofálny nedostatok IPv4 adries bol nielen vznik protokolu IPv6, ale aj technológie SNI, ktorá umožnila hosťovať obrovské množstvo webových stránok na jednej IPv4 adrese. Podstatou SNI je, že toto rozšírenie umožňuje klientom počas procesu handshake povedať serveru názov stránky, s ktorou sa chce spojiť. To umožňuje serveru ukladať viacero certifikátov, čo znamená, že na jednej IP adrese môže fungovať viacero domén. Technológia SNI sa stala populárnou najmä medzi podnikovými poskytovateľmi SaaS, ktorí majú možnosť hostiť takmer neobmedzený počet domén bez ohľadu na počet adries IPv4, ktoré sú na to potrebné. Poďme zistiť, ako môžete implementovať podporu SNI v Zimbra Collaboration Suite Open-Source Edition.
SNI funguje vo všetkých aktuálnych a podporovaných verziách Zimbra OSE. Ak máte Zimbra Open-Source spustený na infraštruktúre viacerých serverov, budete musieť vykonať všetky kroky uvedené nižšie na uzle s nainštalovaným serverom Zimbra Proxy. Okrem toho budete potrebovať zodpovedajúce páry certifikát+kľúč, ako aj dôveryhodné reťazce certifikátov od vašej CA pre každú z domén, ktoré chcete hostiť na vašej adrese IPv4. Upozorňujeme, že príčinou veľkej väčšiny chýb pri nastavovaní SNI v Zimbra OSE sú práve nesprávne súbory s certifikátmi. Preto vám odporúčame, aby ste si pred ich priamou inštaláciou všetko dôkladne skontrolovali.
Po prvé, aby SNI fungoval normálne, musíte zadať príkaz zmprov mcf zimbraReverseProxySNIEpovolené PRAVDA na proxy uzle Zimbra a potom reštartujte službu Proxy pomocou príkazu reštart zmproxyctl.
Začneme vytvorením názvu domény. Napríklad vezmeme doménu company.ru a po vytvorení domény sa rozhodneme pre názov virtuálneho hostiteľa Zimbra a virtuálnu IP adresu. Upozorňujeme, že názov virtuálneho hostiteľa Zimbra sa musí zhodovať s názvom, ktorý musí používateľ zadať do prehliadača, aby získal prístup k doméne, a tiež sa musí zhodovať s názvom uvedeným v certifikáte. Zoberme si napríklad Zimbru ako názov virtuálneho hostiteľa mail.company.rua ako virtuálnu IPv4 adresu používame adresu 1.2.3.4.
Potom stačí zadať príkaz zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4na prepojenie virtuálneho hostiteľa Zimbra s virtuálnou IP adresou. Upozorňujeme, že ak je server umiestnený za NAT alebo firewallom, musíte zabezpečiť, aby všetky požiadavky na doménu smerovali na externú IP adresu, ktorá je s ňou spojená, a nie na jej adresu v lokálnej sieti.
Keď je všetko hotové, ostáva už len skontrolovať a pripraviť certifikáty domény na inštaláciu a následne ich nainštalovať.
Ak bolo vydanie certifikátu domény dokončené správne, mali by ste mať tri súbory s certifikátmi: dva z nich sú reťazce certifikátov vašej certifikačnej autority a jeden priamy certifikát pre doménu. Okrem toho musíte mať súbor s kľúčom, ktorý ste použili na získanie certifikátu. Vytvorte samostatný priečinok /tmp/company.ru a umiestnite tam všetky existujúce súbory s kľúčmi a certifikátmi. Konečný výsledok by mal byť niečo také:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPotom pomocou príkazu spojíme reťazce certifikátov do jedného súboru cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt a pomocou príkazu sa uistite, že je všetko v poriadku s certifikátmi /opt/zimbra/bin/zmcertmgrovercrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Po úspešnom overení certifikátov a kľúča môžete začať s ich inštaláciou.
Aby sme mohli začať s inštaláciou, najprv spojíme certifikát domény a dôveryhodné reťazce od certifikačných autorít do jedného súboru. Dá sa to urobiť aj pomocou jedného príkazu, napr cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Potom musíte spustiť príkaz, aby ste zapísali všetky certifikáty a kľúč do LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keya potom nainštalujte certifikáty pomocou príkazu /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Po inštalácii sa certifikáty a kľúč k doméne company.ru uložia do priečinka /opt/zimbra/conf/domaincerts/company.ru.
Opakovaním týchto krokov s použitím rôznych názvov domén, ale rovnakej adresy IP, je možné hostiť niekoľko stoviek domén na jednej adrese IPv4. V tomto prípade môžete bez problémov použiť certifikáty z rôznych vydávacích centier. Správnosť všetkých vykonaných akcií môžete skontrolovať v ľubovoľnom prehliadači, kde by mal každý názov virtuálneho hostiteľa zobrazovať svoj vlastný SSL certifikát.
So všetkými otázkami týkajúcimi sa apartmánu Zextras sa môžete e-mailom obrátiť na zástupkyňu Zextras Ekaterinu Triandafilidi [chránené e-mailom]
Zdroj: hab.com