21-asrning boshida IPv4 manzillari kabi resurs tugash arafasida. 2011 yilda IANA o'zining manzil maydonining so'nggi besh /8 blokini mintaqaviy Internet-registratorlarga ajratdi va 2017 yilda ularning manzillari tugaydi. IPv4 manzillarining halokatli tanqisligiga javob nafaqat IPv6 protokolining paydo bo'lishi, balki bitta IPv4 manzilida juda ko'p veb-saytlarni joylashtirish imkonini beradigan SNI texnologiyasi edi. SNI-ning mohiyati shundaki, ushbu kengaytma mijozlarga qo'l siqish jarayonida serverga u bog'lanmoqchi bo'lgan sayt nomini aytishga imkon beradi. Bu serverga bir nechta sertifikatlarni saqlash imkonini beradi, ya'ni bir nechta domenlar bitta IP manzilda ishlashi mumkin. SNI texnologiyasi, ayniqsa, buning uchun talab qilinadigan IPv4 manzillari sonidan qat'i nazar, deyarli cheksiz miqdordagi domenlarni joylashtirish imkoniyatiga ega bo'lgan biznes SaaS provayderlari orasida mashhur bo'ldi. Keling, Zimbra Collaboration Suite Open-Source Edition-da SNI-ni qo'llab-quvvatlashni qanday amalga oshirishingiz mumkinligini bilib olaylik.
SNI Zimbra OSE ning barcha joriy va qo'llab-quvvatlanadigan versiyalarida ishlaydi. Agar sizda Zimbra Open-Source ko‘p serverli infratuzilmada ishlayotgan bo‘lsa, Zimbra Proksi serveri o‘rnatilgan tugunda quyidagi barcha amallarni bajarishingiz kerak bo‘ladi. Bundan tashqari, sizga mos sertifikat+kalit juftlari, shuningdek, IPv4 manzilingizda joylashtirmoqchi boʻlgan har bir domen uchun CAʼdan ishonchli sertifikat zanjirlari kerak boʻladi. E'tibor bering, Zimbra OSE-da SNI-ni o'rnatishda xatolarning aksariyati sertifikatlarga ega bo'lgan aniq noto'g'ri fayllardir. Shuning uchun, ularni to'g'ridan-to'g'ri o'rnatishdan oldin hamma narsani diqqat bilan tekshirishingizni maslahat beramiz.
Avvalo, SNI normal ishlashi uchun siz buyruqni kiritishingiz kerak zmprov mcf zimbraReverseProxySNIEnabled TRUE Zimbra proksi-tuguniga o'ting va keyin buyruq yordamida Proksi xizmatini qayta ishga tushiring zmproxyctl qayta ishga tushiring.
Biz domen nomini yaratishdan boshlaymiz. Masalan, biz domenni olamiz company.ru va domen allaqachon yaratilgandan so'ng, biz Zimbra virtual xost nomi va virtual IP manzili haqida qaror qabul qilamiz. E'tibor bering, Zimbra virtual xost nomi foydalanuvchi domenga kirish uchun brauzerga kiritishi kerak bo'lgan nomga, shuningdek sertifikatda ko'rsatilgan nomga mos kelishi kerak. Masalan, virtual xost nomi sifatida Zimbrani olaylik mail.company.ru, va virtual IPv4 manzili sifatida biz manzildan foydalanamiz 1.2.3.4.
Shundan so'ng, shunchaki buyruqni kiriting zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAdres 1.2.3.4Zimbra virtual xostini virtual IP manziliga ulash uchun. E'tibor bering, agar server NAT yoki xavfsizlik devori orqasida joylashgan bo'lsa, siz domenga bo'lgan barcha so'rovlar mahalliy tarmoqdagi manziliga emas, balki u bilan bog'langan tashqi IP-manzilga borishini ta'minlashingiz kerak.
Hamma narsa bajarilgandan so'ng, faqat domen sertifikatlarini tekshirish va o'rnatish uchun tayyorlash va keyin ularni o'rnatish qoladi.
Agar domen sertifikatining chiqarilishi to'g'ri bajarilgan bo'lsa, sizda sertifikatlar bo'lgan uchta fayl bo'lishi kerak: ulardan ikkitasi sertifikatlash organining sertifikatlari zanjiri va biri domen uchun to'g'ridan-to'g'ri sertifikat. Bundan tashqari, sizda sertifikat olish uchun foydalanilgan kalit bilan fayl bo'lishi kerak. Alohida jild yarating /tmp/company.ru va u erda kalitlar va sertifikatlar bilan barcha mavjud fayllarni joylashtiring. Yakuniy natija shunday bo'lishi kerak:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtShundan so'ng, buyruq yordamida sertifikat zanjirlarini bitta faylga birlashtiramiz cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt va buyruq yordamida sertifikatlar bilan hamma narsa tartibda ekanligiga ishonch hosil qiling /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Sertifikatlar va kalitlarni tekshirish muvaffaqiyatli bo'lgandan so'ng, ularni o'rnatishni boshlashingiz mumkin.
O'rnatishni boshlash uchun birinchi navbatda domen sertifikati va sertifikatlashtirish idoralarining ishonchli zanjirlarini bitta faylga birlashtiramiz. Bu kabi bitta buyruq yordamida ham amalga oshirilishi mumkin cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Shundan so'ng, barcha sertifikatlar va LDAP kalitini yozish uchun buyruqni ishga tushirishingiz kerak: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyva keyin buyruq yordamida sertifikatlarni o'rnating /opt/zimbra/libexec/zmdomaincertmgr deploycrts. O'rnatishdan so'ng sertifikatlar va company.ru domenining kaliti papkada saqlanadi /opt/zimbra/conf/domaincerts/company.ru.
Turli xil domen nomlari, lekin bir xil IP-manzil yordamida ushbu amallarni takrorlash orqali bitta IPv4 manzilida bir necha yuz domenlarni joylashtirish mumkin. Bunday holda, siz turli xil emissiya markazlarining sertifikatlaridan hech qanday muammosiz foydalanishingiz mumkin. Har qanday brauzerda bajarilgan barcha harakatlarning to'g'riligini tekshirishingiz mumkin, bu erda har bir virtual xost nomi o'zining SSL sertifikatini ko'rsatishi kerak.
Zextras Suite bilan bog'liq barcha savollar uchun siz Zekstras vakili Yekaterina Triandafilidi bilan elektron pochta orqali bog'lanishingiz mumkin. [elektron pochta bilan himoyalangan]
Manba: www.habr.com