في بداية القرن الحادي والعشرين ، هناك مورد مثل عناوين IPv4 على وشك النضوب. في عام 2011 ، خصصت IANA آخر خمس كتل / 8 من مساحة العنوان إلى مسجلي الإنترنت الإقليميين ، وفي عام 2017 ، أنهوا عناوينهم بالفعل. لم تكن الإجابة على النقص الكارثي لعناوين IPv4 هي ظهور IPv6 فحسب ، بل كانت أيضًا تقنية SNI ، التي مكنت من استضافة عدد كبير من المواقع على عنوان IPv4 واحد. جوهر SNI هو أن هذا الامتداد يتيح للعملاء إخبار الخادم باسم الموقع الذي يريدون الاتصال به أثناء المصافحة. يسمح هذا للخادم بتخزين شهادات متعددة ، مما يعني أنه يمكن تشغيل مجالات متعددة على نفس عنوان IP. أصبحت تقنية SNI شائعة بشكل خاص بين مزودي SaaS للأعمال ، والتي كانت قادرة على استضافة عدد غير محدود تقريبًا من المجالات دون النظر إلى عدد عناوين IPv4 اللازمة لهذا الغرض. دعنا نتعرف على كيفية تطبيق دعم SNI في الإصدار المفتوح المصدر من Zimbra Collaboration Suite.
يعمل SNI في جميع الإصدارات الحالية المدعومة من Zimbra OSE. في حالة تشغيل برنامج Zimbra مفتوح المصدر على بنية أساسية متعددة الخوادم ، ستحتاج إلى تنفيذ جميع الإجراءات التالية على العقدة مع تثبيت خادم Zimbra Proxy. بالإضافة إلى ذلك ، ستحتاج إلى مطابقة أزواج الشهادة + المفاتيح ، وكذلك سلاسل الشهادات الموثوق بها من المرجع المصدق لكل مجال من المجالات التي تريد وضعها على عنوان IPv4 الخاص بك. يرجى ملاحظة أن سبب الغالبية العظمى من الأخطاء عند تكوين SNI في Zimbra OSE هو بالتحديد في ملفات شهادة غير صحيحة. لذلك ، ننصحك بالتحقق من كل شيء بعناية قبل تثبيته مباشرة.
بادئ ذي بدء ، لكي يعمل SNI بشكل طبيعي ، تحتاج إلى إدخال الأمر
zmprov mcf zimbraReverseProxySNIEnabled TRUE على العقدة مع خادم وكيل Zimbra ، ثم
أعد تشغيل خدمة Proxy باستخدام أمر
إعادة تشغيل zmproxyctl .
سنبدأ بإنشاء اسم مجال. على سبيل المثال ، نأخذ نطاق
company.ru ، وبعد إنشاء النطاق بالفعل ، سنحدد اسم المضيف الظاهري Zimbra وعنوان IP الظاهري. يرجى ملاحظة أن اسم المضيف الظاهري Zimbra يجب أن يتوافق مع الاسم الذي يجب على المستخدم إدخاله في خط المتصفح للوصول إلى المجال ، وكذلك مطابقة الاسم المشار إليه في الشهادة. على سبيل المثال ، استخدم Zimbra
mail.company.ru كاسم مضيف افتراضي ، واستخدم
1.2.3.4 كعنوان IPv4 افتراضي.
بعد ذلك ، ما
عليك سوى إدخال الأمر
zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4 لربط المضيف الظاهري Zimbra بعنوان IP الظاهري. نلفت انتباهك إلى حقيقة أنه إذا كان الخادم يقع خلف NAT أو جدار الحماية ، فيجب عليك التأكد من أن جميع الطلبات إلى المجال تذهب إلى عنوان IP الخارجي المرتبط به ، وليس إلى عنوانه على الشبكة المحلية.
بعد الانتهاء من كل شيء ، يبقى فقط التحقق من شهادات المجال وإعدادها للتثبيت ، ثم تثبيتها.
إذا تم إصدار شهادة المجال بشكل صحيح ، فيجب أن يكون لديك ثلاثة ملفات مع شهادات في متناول اليد: اثنان منها عبارة عن سلاسل شهادات من المرجع المصدق الخاص بك ، وواحد هو شهادة مباشرة إلى المجال. بالإضافة إلى ذلك ، يجب أن يكون لديك ملف يحتوي على المفتاح الذي استخدمته للحصول على الشهادة. إنشاء مجلد منفصل /
tmp /
company.ru ووضع هناك جميع الملفات المتاحة مع المفاتيح والشهادات. يجب أن تكون النتيجة شيء مثل هذا:
ls /tmp/company.ru company.ru.key company.ru.crt company.ru.root.crt company.ru.intermediate.crt
بعد ذلك ، ادمج سلاسل الشهادات في ملف واحد باستخدام الأمر
cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt وتأكد من أن كل شيء على ما يرام مع الشهادات باستخدام
/ opt / command
zimbra / bin / zmcertmgr checkcrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt . بعد التحقق من الشهادات والمفتاح بنجاح ، يمكنك متابعة التثبيت.
لبدء التثبيت ، سنجمع أولاً شهادة المجال والسلاسل الموثوقة من المراجع المصدقة في ملف واحد. يتم ذلك أيضًا باستخدام أمر واحد من شركة
company.ru.crt النموذجية cat cat >> company.ru.bundle . بعد ذلك ، تحتاج إلى تشغيل الأمر من أجل كتابة جميع الشهادات ومفتاح LDAP:
/ opt / zimbra / libexec / zmdomaincertmgr savecrt company.ru company.ru company.ru.bundle company.ru.key ، ثم قم بتثبيت الشهادات باستخدام
/ opt / command
نشر zimbra / libexec / zmdomaincertmgr . بعد التثبيت ، سيتم تخزين الشهادات والمفتاح الخاص بنطاق company.ru في المجلد
/opt/zimbra/conf/domaincerts/company.ru .
بتكرار هذه الخطوات باستخدام أسماء نطاقات مختلفة ، ولكن باستخدام نفس عنوان IP ، يمكنك تحقيق موقع مئات النطاقات على نفس عنوان IPv4. في الوقت نفسه ، يمكنك استخدام شهادات من مراكز مختلفة لإصدارها دون أي مشاكل. يمكنك التحقق من صحة جميع الإجراءات التي يتم تنفيذها في أي متصفح ، حيث يجب عرض شهادة SSL لكل اسم مضيف ظاهري.
بالنسبة لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل شركة "Zextras" Ekaterina Triandafilidi عبر البريد الإلكتروني katerina@zextras.com