Vào đầu thế kỷ 21, một nguồn tài nguyên như địa chỉ IPv4 đang trên đà cạn kiệt. Trở lại năm 2011, IANA đã phân bổ 8 khối/2017 khối không gian địa chỉ còn lại cuối cùng của mình cho các nhà đăng ký Internet trong khu vực và đến năm 4, họ đã hết địa chỉ. Câu trả lời cho tình trạng thiếu địa chỉ IPv6 thảm khốc không chỉ là sự xuất hiện của giao thức IPv4 mà còn là công nghệ SNI, giúp có thể lưu trữ một số lượng lớn trang web trên một địa chỉ IPv4 duy nhất. Bản chất của SNI là tiện ích mở rộng này cho phép khách hàng, trong quá trình bắt tay, cho máy chủ biết tên của trang web mà nó muốn kết nối. Điều này cho phép máy chủ lưu trữ nhiều chứng chỉ, nghĩa là nhiều miền có thể hoạt động trên một địa chỉ IP. Công nghệ SNI đã trở nên đặc biệt phổ biến đối với các nhà cung cấp SaaS dành cho doanh nghiệp, những người có cơ hội lưu trữ số lượng tên miền gần như không giới hạn mà không cần quan tâm đến số lượng địa chỉ IPvXNUMX cần thiết cho việc này. Hãy tìm hiểu cách bạn có thể triển khai hỗ trợ SNI trong Phiên bản mã nguồn mở của Bộ cộng tác Zimbra.
SNI hoạt động trong tất cả các phiên bản Zimbra OSE hiện tại và được hỗ trợ. Nếu bạn có Mã nguồn mở Zimbra chạy trên cơ sở hạ tầng nhiều máy chủ, bạn sẽ cần thực hiện tất cả các bước bên dưới trên một nút có cài đặt máy chủ Zimbra Proxy. Ngoài ra, bạn sẽ cần các cặp chứng chỉ+khóa phù hợp, cũng như chuỗi chứng chỉ đáng tin cậy từ CA của bạn cho từng miền bạn muốn lưu trữ trên địa chỉ IPv4 của mình. Xin lưu ý rằng nguyên nhân của phần lớn lỗi khi thiết lập SNI trong Zimbra OSE chính xác là do các tệp có chứng chỉ không chính xác. Vì vậy, chúng tôi khuyên bạn nên kiểm tra cẩn thận mọi thứ trước khi cài đặt trực tiếp.
Trước hết để SNI hoạt động bình thường bạn cần nhập lệnh zmprov mcf zimbraReverseProxySNIEnabled TRUE trên nút proxy Zimbra, sau đó khởi động lại dịch vụ Proxy bằng lệnh khởi động lại zmproxyctl.
Chúng ta sẽ bắt đầu bằng việc tạo một tên miền. Ví dụ: chúng ta sẽ lấy tên miền công ty.ru và sau khi miền đã được tạo, chúng tôi sẽ quyết định tên máy chủ ảo Zimbra và địa chỉ IP ảo. Xin lưu ý rằng tên máy chủ ảo Zimbra phải khớp với tên mà người dùng phải nhập vào trình duyệt để truy cập miền và cũng khớp với tên được chỉ định trong chứng chỉ. Ví dụ: hãy lấy Zimbra làm tên máy chủ ảo mail.company.ruvà dưới dạng địa chỉ IPv4 ảo, chúng tôi sử dụng địa chỉ 1.2.3.4.
Sau đó chỉ cần nhập lệnh zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4để liên kết máy chủ ảo Zimbra với một địa chỉ IP ảo. Xin lưu ý rằng nếu máy chủ được đặt phía sau NAT hoặc tường lửa, bạn phải đảm bảo rằng tất cả các yêu cầu tới miền đều chuyển đến địa chỉ IP bên ngoài được liên kết với nó chứ không phải đến địa chỉ của nó trên mạng cục bộ.
Sau khi mọi thứ đã xong, tất cả những gì còn lại là kiểm tra và chuẩn bị chứng chỉ miền để cài đặt, sau đó cài đặt chúng.
Nếu quá trình cấp chứng chỉ miền được hoàn tất chính xác, bạn phải có ba tệp có chứng chỉ: hai trong số đó là chuỗi chứng chỉ từ cơ quan chứng nhận của bạn và một là chứng chỉ trực tiếp cho miền. Ngoài ra, bạn phải có một tệp có khóa mà bạn đã sử dụng để lấy chứng chỉ. Tạo một thư mục riêng /tmp/company.ru và đặt tất cả các tệp hiện có cùng với khóa và chứng chỉ vào đó. Kết quả cuối cùng sẽ giống như thế này:
ls /tmp/company.ru
company.ru.key
company.ru.crt
company.ru.root.crt
company.ru.intermediate.crtSau này, chúng ta sẽ kết hợp chuỗi chứng chỉ thành một tệp bằng lệnh cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt và đảm bảo rằng mọi thứ đều đúng với chứng chỉ bằng lệnh /opt/zimbra/bin/zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt. Sau khi xác minh chứng chỉ và khóa thành công, bạn có thể bắt đầu cài đặt chúng.
Để bắt đầu cài đặt, trước tiên chúng tôi sẽ kết hợp chứng chỉ miền và chuỗi đáng tin cậy từ cơ quan chứng nhận vào một tệp. Điều này cũng có thể được thực hiện bằng cách sử dụng một lệnh như cat company.ru.crt company.ru_ca.crt >> company.ru.bundle. Sau này, bạn cần chạy lệnh để ghi tất cả các chứng chỉ và khóa vào LDAP: /opt/zimbra/libexec/zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.keyvà sau đó cài đặt chứng chỉ bằng lệnh /opt/zimbra/libexec/zmdomaincertmgr triển khai. Sau khi cài đặt, các chứng chỉ và khóa của miền company.ru sẽ được lưu trong thư mục /opt/zimbra/conf/domaincerts/company.ru.
Bằng cách lặp lại các bước này bằng cách sử dụng các tên miền khác nhau nhưng cùng một địa chỉ IP, có thể lưu trữ hàng trăm tên miền trên một địa chỉ IPv4. Trong trường hợp này, bạn có thể sử dụng chứng chỉ từ nhiều trung tâm phát hành khác nhau mà không gặp vấn đề gì. Bạn có thể kiểm tra tính chính xác của tất cả các hành động được thực hiện trong bất kỳ trình duyệt nào, trong đó mỗi tên máy chủ ảo sẽ hiển thị chứng chỉ SSL riêng.
Đối với tất cả các câu hỏi liên quan đến Zextras Suite, bạn có thể liên hệ với Đại diện Zextras Ekaterina Triandafilidi qua email [email được bảo vệ]
Nguồn: www.habr.com