21. yüzyılın başında IPv4 adresleri gibi bir kaynak tükenmenin eşiğinde. 2011 yılında IANA, adres alanının kalan son beş /8 bloğunu bölgesel İnternet kayıt şirketlerine tahsis etmişti ve 2017'de zaten adresleri tükenmişti. IPv4 adreslerinin korkunç kıtlığına çözüm, yalnızca IPv6 protokolünün ortaya çıkması değil, aynı zamanda çok sayıda web sitesini tek bir IPv4 adresinde barındırmayı mümkün kılan SNI teknolojisiydi. SNI'nın özü, bu uzantının, istemcilerin el sıkışma işlemi sırasında sunucuya bağlanmak istediği sitenin adını söylemesine olanak sağlamasıdır. Bu, sunucunun birden fazla sertifikayı depolamasına olanak tanır; bu, birden fazla etki alanının tek bir IP adresi üzerinde çalışabileceği anlamına gelir. SNI teknolojisi, bunun için gereken IPv4 adreslerinin sayısına bakılmaksızın neredeyse sınırsız sayıda alanı barındırma fırsatına sahip olan ticari SaaS sağlayıcıları arasında özellikle popüler hale geldi. Zimbra Collaboration Suite Açık Kaynak Sürümünde SNI desteğini nasıl uygulayabileceğinizi öğrenelim.
SNI, Zimbra OSE'nin tüm güncel ve desteklenen sürümlerinde çalışır. Çoklu sunucu altyapısında çalışan Zimbra Açık Kaynak'ınız varsa, Zimbra Proxy sunucusunun kurulu olduğu bir düğümde aşağıdaki tüm adımları uygulamanız gerekecektir. Ayrıca, IPv4 adresinizde barındırmak istediğiniz alanların her biri için CA'nızdan gelen eşleşen sertifika+anahtar çiftlerinin yanı sıra güvenilir sertifika zincirlerine de ihtiyacınız olacaktır. Lütfen Zimbra OSE'de SNI kurulumu sırasında ortaya çıkan hataların büyük çoğunluğunun nedeninin kesinlikle hatalı sertifika dosyaları olduğunu unutmayın. Bu nedenle, doğrudan kurulumdan önce her şeyi dikkatlice kontrol etmenizi öneririz.
Öncelikle SNI'nin normal çalışması için komutu girmeniz gerekiyor. zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra proxy düğümünde ve ardından şu komutu kullanarak Proxy hizmetini yeniden başlatın: zmproxyctl yeniden başlat.
Bir alan adı oluşturarak başlayacağız. Örneğin, etki alanını alacağız şirket.ru ve alan adı oluşturulduktan sonra Zimbra sanal ana bilgisayar adına ve sanal IP adresine karar vereceğiz. Zimbra sanal ana bilgisayar adının, kullanıcının etki alanına erişmek için tarayıcıya girmesi gereken adla ve ayrıca sertifikada belirtilen adla eşleşmesi gerektiğini lütfen unutmayın. Örneğin sanal ana bilgisayar adı olarak Zimbra'yı alalım mail.company.ruve sanal IPv4 adresi olarak adresi kullanıyoruz 1.2.3.4.
Bundan sonra sadece komutu girin zmprov md şirket.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4Zimbra sanal ana bilgisayarını sanal bir IP adresine bağlamak için. Sunucu bir NAT veya güvenlik duvarının arkasında bulunuyorsa, etki alanına yapılan tüm isteklerin yerel ağdaki adresine değil, kendisiyle ilişkili harici IP adresine gittiğinden emin olmanız gerektiğini lütfen unutmayın.
Her şey tamamlandıktan sonra geriye kalan tek şey alan adı sertifikalarını kontrol edip kurulum için hazırlamak ve ardından yüklemektir.
Etki alanı sertifikasının verilmesi doğru bir şekilde tamamlandıysa, sertifika içeren üç dosyanız olmalıdır: bunlardan ikisi sertifika yetkilinizden gelen sertifika zincirleridir ve biri alan adına ait doğrudan bir sertifikadır. Ayrıca sertifikayı almak için kullandığınız anahtarı içeren bir dosyanızın olması gerekir. Ayrı bir klasör oluşturun /tmp/company.ru ve mevcut tüm dosyaları anahtarlar ve sertifikalarla birlikte oraya yerleştirin. Nihai sonuç şöyle bir şey olmalı:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtBundan sonra şu komutu kullanarak sertifika zincirlerini tek bir dosyada birleştireceğiz. cat sirket.ru.root.crt sirket.ru.intermediate.crt >> sirket.ru_ca.crt ve komutu kullanarak sertifikalarda her şeyin yolunda olduğundan emin olun /opt/zimbra/bin/zmcertmgr doğrulamacrt iletişim /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Sertifikaların ve anahtarın doğrulanması başarılı olduktan sonra bunları yüklemeye başlayabilirsiniz.
Kuruluma başlamak için öncelikle alan adı sertifikasını ve sertifika yetkililerinden gelen güvenilir zincirleri tek bir dosyada birleştireceğiz. Bu aynı zamanda aşağıdaki gibi bir komut kullanılarak da yapılabilir: kedi sirket.ru.crt sirket.ru_ca.crt >> sirket.ru.bundle. Bundan sonra tüm sertifikaları ve anahtarı LDAP'ye yazmak için komutu çalıştırmanız gerekir: /opt/zimbra/libexec/zmdomaincertmgr savecrt sirket.ru sirket.ru.bundle sirket.ru.keyve ardından komutu kullanarak sertifikaları yükleyin /opt/zimbra/libexec/zmdomaincertmgr konuşlandırmacrts. Kurulumdan sonra, şirket.ru alan adının sertifikaları ve anahtarı klasörde saklanacaktır. /opt/zimbra/conf/domaincerts/company.ru.
Farklı alan adlarını ancak aynı IP adresini kullanarak bu adımları tekrarlayarak, tek bir IPv4 adresinde birkaç yüz alan adını barındırmak mümkündür. Bu durumda, çeşitli veren merkezlerden gelen sertifikaları sorunsuz bir şekilde kullanabilirsiniz. Her sanal ana bilgisayar adının kendi SSL sertifikasını görüntülemesi gereken herhangi bir tarayıcıda gerçekleştirilen tüm eylemlerin doğruluğunu kontrol edebilirsiniz.
Zextras Suite ile ilgili tüm sorularınız için Zextras Ekaterina Triandafilidi Temsilcisi ile e-posta yoluyla iletişime geçebilirsiniz. [e-posta korumalı]
Kaynak: habr.com