Sa simula ng ika-21 siglo, ang isang mapagkukunan tulad ng mga IPv4 address ay nasa bingit ng pagkahapo. Noong 2011, inilaan ng IANA ang huling limang natitirang /8 na bloke ng address space nito sa mga regional Internet registrar, at noong 2017 ay naubusan na sila ng mga address. Ang sagot sa sakuna na kakulangan ng mga IPv4 address ay hindi lamang ang paglitaw ng IPv6 protocol, kundi pati na rin ang teknolohiya ng SNI, na naging posible na mag-host ng isang malaking bilang ng mga website sa isang solong IPv4 address. Ang kakanyahan ng SNI ay ang extension na ito ay nagbibigay-daan sa mga kliyente, sa panahon ng proseso ng handshake, na sabihin sa server ang pangalan ng site kung saan nais nitong kumonekta. Nagbibigay-daan ito sa server na mag-imbak ng maraming certificate, na nangangahulugang maraming domain ang maaaring gumana sa isang IP address. Ang teknolohiya ng SNI ay naging lalong popular sa mga tagapagbigay ng SaaS ng negosyo, na may pagkakataong mag-host ng halos walang limitasyong bilang ng mga domain nang hindi isinasaalang-alang ang bilang ng mga IPv4 address na kinakailangan para dito. Alamin natin kung paano mo maipapatupad ang suporta ng SNI sa Zimbra Collaboration Suite Open-Source Edition.
Gumagana ang SNI sa lahat ng kasalukuyan at sinusuportahang bersyon ng Zimbra OSE. Kung mayroon kang Zimbra Open-Source na tumatakbo sa isang multi-server na imprastraktura, kakailanganin mong gawin ang lahat ng hakbang sa ibaba sa isang node na may naka-install na Zimbra Proxy server. Bilang karagdagan, kakailanganin mo ng pagtutugma ng mga pares ng certificate+key, pati na rin ng mga pinagkakatiwalaang chain ng certificate mula sa iyong CA para sa bawat isa sa mga domain na gusto mong i-host sa iyong IPv4 address. Pakitandaan na ang sanhi ng karamihan ng mga error kapag nagse-set up ng SNI sa Zimbra OSE ay tiyak na mga maling file na may mga certificate. Samakatuwid, ipinapayo namin sa iyo na maingat na suriin ang lahat bago i-install ang mga ito nang direkta.
Una sa lahat, upang gumana nang normal ang SNI, kailangan mong ipasok ang command zmprov mcf zimbraReverseProxySNIEnabled TRUE sa Zimbra proxy node, at pagkatapos ay i-restart ang serbisyo ng Proxy gamit ang command i-restart ang zmproxyctl.
Magsisimula tayo sa paggawa ng domain name. Halimbawa, kukunin namin ang domain kumpanya.ru at, pagkatapos na magawa ang domain, magpapasya kami sa Zimbra virtual host name at virtual IP address. Pakitandaan na ang Zimbra virtual host name ay dapat tumugma sa pangalan na dapat ipasok ng user sa browser upang ma-access ang domain, at tumugma din sa pangalang tinukoy sa certificate. Halimbawa, kunin natin ang Zimbra bilang virtual host name mail.company.ru, at bilang isang virtual IPv4 address ginagamit namin ang address 1.2.3.4.
Pagkatapos nito, ipasok lamang ang utos zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4upang itali ang Zimbra virtual host sa isang virtual na IP address. Pakitandaan na kung ang server ay matatagpuan sa likod ng isang NAT o firewall, dapat mong tiyakin na ang lahat ng mga kahilingan sa domain ay mapupunta sa panlabas na IP address na nauugnay dito, at hindi sa address nito sa lokal na network.
Matapos gawin ang lahat, ang natitira na lang ay suriin at ihanda ang mga sertipiko ng domain para sa pag-install, at pagkatapos ay i-install ang mga ito.
Kung nakumpleto nang tama ang pagpapalabas ng isang domain certificate, dapat ay mayroon kang tatlong file na may mga certificate: dalawa sa mga ito ay mga chain ng certificate mula sa iyong awtoridad sa certification, at ang isa ay isang direktang certificate para sa domain. Bilang karagdagan, dapat kang magkaroon ng isang file na may susi na ginamit mo upang makuha ang sertipiko. Lumikha ng isang hiwalay na folder /tmp/company.ru at ilagay ang lahat ng magagamit na mga file na may mga susi at sertipiko doon. Ang huling resulta ay dapat na ganito:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtPagkatapos nito, pagsasamahin namin ang mga chain ng certificate sa isang file gamit ang command kumpanya ng pusa.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt at siguraduhin na ang lahat ay maayos sa mga sertipiko gamit ang utos /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Matapos ang pag-verify ng mga certificate at key ay matagumpay, maaari mong simulan ang pag-install ng mga ito.
Upang simulan ang pag-install, pagsasamahin muna namin ang certificate ng domain at mga pinagkakatiwalaang chain mula sa mga awtoridad sa certification sa isang file. Maaari rin itong gawin gamit ang isang utos tulad ng kumpanya ng pusa.ru.crt kumpanya.ru_ca.crt >> company.ru.bundle. Pagkatapos nito, kailangan mong patakbuhin ang command upang maisulat ang lahat ng mga sertipiko at ang susi sa LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyat pagkatapos ay i-install ang mga sertipiko gamit ang command /opt/zimbra/libexec/zmdomaincertmgr deploycrts. Pagkatapos ng pag-install, ang mga sertipiko at ang susi sa domain ng company.ru ay maiimbak sa folder /opt/zimbra/conf/domaincerts/company.ru.
Sa pamamagitan ng pag-uulit ng mga hakbang na ito gamit ang iba't ibang domain name ngunit ang parehong IP address, posibleng mag-host ng ilang daang domain sa isang IPv4 address. Sa kasong ito, maaari kang gumamit ng mga sertipiko mula sa iba't ibang mga sentro ng pag-isyu nang walang anumang mga problema. Maaari mong suriin ang kawastuhan ng lahat ng mga aksyon na ginawa sa anumang browser, kung saan ang bawat virtual host name ay dapat magpakita ng sarili nitong SSL certificate.
Para sa lahat ng tanong na may kaugnayan sa Zextras Suite, maaari kang makipag-ugnayan kay Zextras Representative Ekaterina Triandafilidi sa pamamagitan ng email [protektado ng email]
Pinagmulan: www.habr.com