I början av 21-talet är en resurs som IPv4-adresser på gränsen till utmattning. Tillbaka 2011 tilldelade IANA de sista fem återstående /8 blocken av sitt adressutrymme till regionala internetregistratorer, och redan 2017 fick de slut på adresser. Svaret på den katastrofala bristen på IPv4-adresser var inte bara uppkomsten av IPv6-protokollet, utan också SNI-tekniken, som gjorde det möjligt att vara värd för ett stort antal webbplatser på en enda IPv4-adress. Kärnan i SNI är att denna förlängning tillåter klienter, under handskakningsprocessen, att berätta för servern namnet på webbplatsen som den vill ansluta till. Detta gör att servern kan lagra flera certifikat, vilket innebär att flera domäner kan arbeta på en IP-adress. SNI-tekniken har blivit särskilt populär bland SaaS-leverantörer för företag, som har möjlighet att vara värd för ett nästan obegränsat antal domäner utan hänsyn till antalet IPv4-adresser som krävs för detta. Låt oss ta reda på hur du kan implementera SNI-stöd i Zimbra Collaboration Suite Open-Source Edition.
SNI fungerar i alla aktuella och stödda versioner av Zimbra OSE. Om du har Zimbra Open-Source som körs på en infrastruktur för flera servrar, måste du utföra alla stegen nedan på en nod med Zimbra Proxy-servern installerad. Dessutom behöver du matchande certifikat+nyckelpar, samt betrodda certifikatkedjor från din CA för var och en av de domäner du vill ha på din IPv4-adress. Observera att orsaken till de allra flesta fel vid inställning av SNI i Zimbra OSE är just felaktiga filer med certifikat. Därför råder vi dig att noggrant kontrollera allt innan du installerar dem direkt.
Först och främst, för att SNI ska fungera normalt måste du ange kommandot zmprov mcf zimbraReverseProxySNIEnabled TRUE på Zimbra-proxynoden och starta sedan om proxytjänsten med kommandot zmproxyctl starta om.
Vi börjar med att skapa ett domännamn. Till exempel tar vi domänen company.ru och efter att domänen redan har skapats kommer vi att besluta om Zimbras virtuella värdnamn och virtuella IP-adress. Observera att Zimbras virtuella värdnamn måste matcha namnet som användaren måste ange i webbläsaren för att komma åt domänen, och även matcha namnet som anges i certifikatet. Låt oss till exempel ta Zimbra som det virtuella värdnamnet mail.company.ru, och som en virtuell IPv4-adress använder vi adressen 1.2.3.4.
Efter detta anger du bara kommandot zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4för att binda den virtuella Zimbra-värden till en virtuell IP-adress. Observera att om servern är placerad bakom en NAT eller brandvägg måste du se till att alla förfrågningar till domänen går till den externa IP-adress som är kopplad till den, och inte till dess adress i det lokala nätverket.
När allt är klart återstår bara att kontrollera och förbereda domäncertifikaten för installation och sedan installera dem.
Om utfärdandet av ett domäncertifikat genomfördes korrekt bör du ha tre filer med certifikat: två av dem är kedjor av certifikat från din certifieringsmyndighet och en är ett direktcertifikat för domänen. Dessutom måste du ha en fil med nyckeln som du använde för att få certifikatet. Skapa en separat mapp /tmp/company.ru och placera alla befintliga filer med nycklar och certifikat där. Slutresultatet borde bli ungefär så här:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtEfter detta kommer vi att kombinera certifikatkedjorna till en fil med kommandot cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt och se till att allt är i sin ordning med certifikaten med kommandot /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. När verifieringen av certifikaten och nyckeln har lyckats kan du börja installera dem.
För att påbörja installationen kommer vi först att kombinera domäncertifikatet och betrodda kedjor från certifieringsmyndigheter till en fil. Detta kan också göras med ett kommando som cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Efter detta måste du köra kommandot för att skriva alla certifikat och nyckeln till LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyoch installera sedan certifikaten med kommandot /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Efter installationen kommer certifikaten och nyckeln till company.ru-domänen att lagras i mappen /opt/zimbra/conf/domaincerts/company.ru.
Genom att upprepa dessa steg med olika domännamn men samma IP-adress är det möjligt att vara värd för flera hundra domäner på en enda IPv4-adress. I det här fallet kan du använda certifikat från en mängd olika utfärdande centra utan problem. Du kan kontrollera riktigheten av alla åtgärder som utförs i vilken webbläsare som helst, där varje virtuellt värdnamn ska visa sitt eget SSL-certifikat.
För alla frågor relaterade till Zextras Suite kan du kontakta representanten för Zextras Ekaterina Triandafilidi via e-post [e-postskyddad]
Källa: will.com