Au début du 21e siècle, une ressource telle que les adresses IPv4 est sur le point de s'épuiser. En 2011, l'IANA a alloué les cinq derniers blocs / 8 restants de son espace d'adressage aux bureaux d'enregistrement régionaux d'Internet, et déjà en 2017, ils ont mis fin à leurs adresses. La réponse à la pénurie catastrophique d'adresses IPv4 a été non seulement l'avènement d'IPv6, mais aussi la technologie SNI, qui a permis d'héberger un grand nombre de sites Web sur une seule adresse IPv4. L'essence de SNI est que cette extension permet aux clients de dire au serveur le nom du site avec lequel ils veulent se connecter lors d'une poignée de main. Cela permet au serveur de stocker plusieurs certificats, ce qui signifie que plusieurs domaines peuvent fonctionner sur la même adresse IP. La technologie SNI est devenue particulièrement populaire parmi les fournisseurs SaaS pour les entreprises, qui ont pu héberger un nombre presque illimité de domaines sans tenir compte du nombre d'adresses IPv4 nécessaires pour cela. Voyons comment vous pouvez implémenter la prise en charge SNI dans Zimbra Collaboration Suite Open-Source Edition.
SNI fonctionne dans toutes les versions actuelles et prises en charge de Zimbra OSE. Dans le cas où votre Zimbra Open-Source s'exécute sur une infrastructure multi-serveurs, vous devrez effectuer toutes les actions suivantes sur le nœud avec le serveur proxy Zimbra installé. En outre, vous aurez besoin de paires de certificats + clés correspondantes, ainsi que de chaînes de certificats de confiance de votre autorité de certification pour chacun des domaines que vous souhaitez placer sur votre adresse IPv4. Veuillez noter que la raison de la grande majorité des erreurs lors de la configuration de SNI dans Zimbra OSE réside précisément dans des fichiers de certificat incorrects. Par conséquent, nous vous conseillons de tout vérifier soigneusement avant de les installer directement.
Tout d'abord, pour que SNI fonctionne normalement, vous devez entrer la commande
zmprov mcf zimbraReverseProxySNIEnabled TRUE sur le nœud avec le serveur proxy Zimbra, puis redémarrer le service proxy à l'aide de la commande de
redémarrage zmproxyctl .
Nous allons commencer par créer un nom de domaine. Par exemple, nous prenons le domaine
company.ru et, une fois le domaine déjà créé, nous déterminerons le nom de l'hôte virtuel Zimbra et l'adresse IP virtuelle. Veuillez noter que le nom de l'hôte virtuel Zimbra doit correspondre au nom que l'utilisateur doit entrer dans la ligne du navigateur pour accéder au domaine, et correspondre également au nom indiqué dans le certificat. Par exemple, prenez Zimbra
mail.company.ru comme nom d'hôte virtuel et utilisez
1.2.3.4 comme adresse IPv4 virtuelle.
Après cela, entrez simplement la commande
zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4 pour lier l'hôte virtuel Zimbra à l'adresse IP virtuelle. Nous attirons votre attention sur le fait que si le serveur est situé derrière un NAT ou un pare-feu, vous devez vous assurer que toutes les requêtes adressées au domaine vont à l'adresse IP externe qui lui est liée, et non à son adresse sur le réseau local.
Une fois que tout est terminé, il ne reste plus qu'à vérifier et à préparer les certificats de domaine pour l'installation, puis à les installer.
Si le certificat du domaine a été émis correctement, vous devez avoir trois fichiers avec des certificats en main: deux d'entre eux sont des chaînes de certificats de votre autorité de certification et un est un certificat direct pour le domaine. De plus, vous devriez avoir entre les mains un fichier contenant la clé que vous avez utilisée pour obtenir le certificat. Créez un dossier séparé
/tmp/company.ru et placez-y tous les fichiers disponibles avec les clés et les certificats. Le résultat devrait être quelque chose comme ceci:
ls /tmp/company.ru company.ru.key company.ru.crt company.ru.root.crt company.ru.intermediate.crt
Après cela, combinez les chaînes de certificats en un seul fichier à l'aide de la commande
cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt et assurez-vous que tout va bien avec les certificats à l'aide de la commande
/ opt / zimbra / bin / zmcertmgr verifycrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt . Une fois la vérification des certificats et de la clé réussie, vous pouvez procéder à leur installation.
Afin de démarrer l'installation, nous allons d'abord combiner le certificat de domaine et les chaînes de confiance des autorités de certification dans un seul fichier. Cela se fait également en utilisant une commande du formulaire
cat company.ru.crt company.ru_ca.crt >> company.ru.bundle . Après cela, vous devez exécuter la commande pour écrire tous les certificats et la clé dans LDAP:
/ opt / zimbra / libexec / zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.key , puis installer les certificats à l'aide de la commande
/ opt / zimbra / libexec / zmdomaincertmgr deploycrts . Après l'installation, les certificats et la clé du domaine
company.ru seront stockés dans le dossier
/opt/zimbra/conf/domaincerts/company.ru .
En répétant ces étapes en utilisant des noms de domaine différents, mais avec la même adresse IP, vous pouvez obtenir l'emplacement de plusieurs centaines de domaines sur la même adresse IPv4. Dans le même temps, vous pouvez utiliser sans problème les certificats de divers centres de leur émission. Vous pouvez vérifier l'exactitude de toutes les actions effectuées dans n'importe quel navigateur, où pour chaque nom d'hôte virtuel, son certificat SSL doit être affiché.
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de la société "Zextras" Ekaterina Triandafilidi par e-mail katerina@zextras.com