V začetku 21. stoletja je vir, kot so naslovi IPv4, na robu izčrpanosti. Že leta 2011 je IANA regionalnim internetnim registratorjem dodelila zadnjih pet preostalih /8 blokov svojega naslovnega prostora in že leta 2017 jim je zmanjkalo naslovov. Odgovor na katastrofalno pomanjkanje naslovov IPv4 ni bil samo pojav protokola IPv6, temveč tudi tehnologija SNI, ki je omogočila gostovanje ogromnega števila spletnih strani na enem naslovu IPv4. Bistvo SNI je, da ta razširitev omogoča odjemalcem, da med postopkom rokovanja strežniku povedo ime mesta, s katerim se želi povezati. To strežniku omogoča shranjevanje več certifikatov, kar pomeni, da lahko na enem naslovu IP deluje več domen. Tehnologija SNI je postala še posebej priljubljena med poslovnimi ponudniki SaaS, ki imajo možnost gostiti skoraj neomejeno število domen ne glede na število naslovov IPv4, ki so za to potrebni. Ugotovimo, kako lahko implementirate podporo za SNI v odprtokodni izdaji Zimbra Collaboration Suite.
SNI deluje v vseh trenutnih in podprtih različicah Zimbra OSE. Če imate Zimbra Open-Source, ki se izvaja na infrastrukturi z več strežniki, boste morali izvesti vse spodnje korake na vozlišču z nameščenim strežnikom Zimbra Proxy. Poleg tega boste potrebovali ujemajoče se pare potrdilo+ključ ter zaupanja vredne verige potrdil vašega CA za vsako od domen, ki jih želite gostiti na svojem naslovu IPv4. Upoštevajte, da so vzrok za veliko večino napak pri nastavljanju SNI v Zimbra OSE ravno napačne datoteke s certifikati. Zato vam svetujemo, da vse skrbno preverite, preden jih neposredno namestite.
Najprej, da bi SNI deloval normalno, morate vnesti ukaz zmprov mcf zimbraReverseProxySNIEnabled TRUE na proxy vozlišču Zimbra in nato znova zaženite storitev proxy z ukazom zmproxyctl znova zaženite.
Začeli bomo z ustvarjanjem imena domene. Za primer bomo vzeli domeno company.ru in ko bo domena že ustvarjena, se bomo odločili za ime virtualnega gostitelja Zimbra in virtualni IP naslov. Upoštevajte, da se mora ime virtualnega gostitelja Zimbra ujemati z imenom, ki ga mora uporabnik vnesti v brskalnik za dostop do domene, in se mora ujemati z imenom, navedenim v potrdilu. Na primer, vzemimo Zimbra kot ime virtualnega gostitelja mail.company.ru, kot navidezni naslov IPv4 pa uporabimo naslov 1.2.3.4.
Po tem samo vnesite ukaz zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4za povezavo virtualnega gostitelja Zimbra z virtualnim naslovom IP. Upoštevajte, da če se strežnik nahaja za NAT ali požarnim zidom, morate zagotoviti, da gredo vse zahteve domeni na zunanji naslov IP, ki je povezan z njo, in ne na njen naslov v lokalnem omrežju.
Po vsem opravljenem preostane le še preverjanje in priprava domenskih certifikatov za namestitev ter njihova namestitev.
Če je bila izdaja domenskega certifikata opravljena pravilno, bi morali imeti tri datoteke s certifikati: dve sta verigi certifikatov vašega overitelja, ena pa je neposredno potrdilo za domeno. Poleg tega morate imeti datoteko s ključem, s katerim ste pridobili certifikat. Ustvarite ločeno mapo /tmp/company.ru in tja postavite vse razpoložljive datoteke s ključi in certifikati. Končni rezultat bi moral biti nekaj takega:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPo tem bomo verige potrdil združili v eno datoteko z ukazom cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt in se z ukazom prepričaj, da je s certifikati vse v redu /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Po uspešnem preverjanju certifikatov in ključa lahko začnete z nameščanjem.
Za začetek namestitve bomo najprej združili potrdilo domene in zaupanja vredne verige overiteljev v eno datoteko. To lahko storite tudi z enim ukazom, kot je cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Po tem morate zagnati ukaz, da zapišete vsa potrdila in ključ v LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyin nato z ukazom namestite potrdila /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Po namestitvi bodo certifikati in ključ do domene company.ru shranjeni v mapi /opt/zimbra/conf/domaincerts/company.ru.
S ponavljanjem teh korakov z uporabo različnih imen domen, vendar istega naslova IP, je mogoče gostiti več sto domen na enem naslovu IPv4. V tem primeru lahko brez težav uporabljate potrdila različnih izdajateljskih centrov. Pravilnost vseh izvedenih dejanj lahko preverite v katerem koli brskalniku, kjer mora vsako ime virtualnega gostitelja prikazati svoj SSL certifikat.
Za vsa vprašanja v zvezi z Zextras Suite se lahko obrnete na predstavnico Zextras Ekaterino Triandafilidi po elektronski pošti. [e-pošta zaščitena]
Vir: www.habr.com