No início do século XXI, um recurso como endereços IPv4 está à beira do esgotamento. Em 2011, a IANA alocou os últimos cinco blocos restantes / 8 de seu espaço de endereço para registradores regionais da Internet e, já em 2017, os endereços terminaram com eles. A resposta para a escassez catastrófica de endereços IPv4 não foi apenas o advento do IPv6, mas também a tecnologia SNI, que tornou possível hospedar um grande número de sites em um endereço IPv4. A essência do SNI é que essa extensão permite que os clientes digam ao servidor o nome do site com o qual desejam se conectar durante um handshake. Isso permite que o servidor armazene vários certificados, o que significa que vários domínios podem operar no mesmo endereço IP. A tecnologia SNI se tornou especialmente popular entre os provedores de SaaS para empresas, que foram capazes de hospedar um número quase ilimitado de domínios sem levar em consideração o número de endereços IPv4 necessários para isso. Vamos descobrir como você pode implementar o suporte SNI no Zimbra Collaboration Suite Open-Source Edition.
O SNI funciona em todas as versões atuais e suportadas do Zimbra OSE. Caso seu Zimbra Open-Source seja executado em uma infraestrutura de vários servidores, você precisará executar todas as ações a seguir no nó com o servidor Zimbra Proxy instalado. Além disso, você precisará de pares de certificados + chaves correspondentes, bem como cadeias de certificados confiáveis da sua autoridade de certificação para cada um dos domínios que deseja colocar no seu endereço IPv4. Observe que o motivo da grande maioria dos erros ao configurar o SNI no Zimbra OSE está precisamente em arquivos de certificado incorretos. Portanto, recomendamos que você verifique cuidadosamente tudo antes de instalá-los diretamente.
Primeiro, para que o SNI funcione normalmente, é necessário inserir o comando
zmprov mcf zimbraReverseProxySNIEnabled TRUE no nó com o servidor proxy Zimbra e, em seguida, reinicie o serviço Proxy usando o comando
zmproxyctl restart .
Começaremos criando um nome de domínio. Por exemplo, pegamos o domínio
company.ru e, depois que o domínio já foi criado, determinaremos o nome do host virtual do Zimbra e o endereço IP virtual. Observe que o nome do host virtual Zimbra deve corresponder ao nome que o usuário deve digitar na linha do navegador para obter acesso ao domínio e também corresponder ao nome indicado no certificado. Como exemplo, use Zimbra
mail.company.ru como o nome do host virtual e use
1.2.3.4 como o endereço IPv4 virtual.
Depois disso, basta digitar o comando
zmprov md company.ru zimbraVirtualHostName mail.company.ru zimbraVirtualIPAddress 1.2.3.4 para vincular o host virtual do Zimbra ao endereço IP virtual. Chamamos sua atenção para o fato de que, se o servidor estiver localizado atrás de um NAT ou firewall, você deverá garantir que todas as solicitações ao domínio sejam direcionadas para o endereço IP externo vinculado a ele, e não para o endereço na rede local.
Depois que tudo estiver pronto, resta apenas verificar e preparar os certificados de domínio para instalação e instalá-los.
Se o certificado para o domínio foi emitido corretamente, você deverá ter três arquivos com certificados disponíveis: dois deles são cadeias de certificados da sua autoridade de certificação e um é um certificado direto para o domínio. Além disso, você deve ter um arquivo com a chave usada para obter o certificado. Crie uma pasta separada
/tmp/company.ru e coloque todos os arquivos disponíveis com chaves e certificados. O resultado deve ser algo como isto:
ls /tmp/company.ru company.ru.key company.ru.crt company.ru.root.crt company.ru.intermediate.crt
Depois disso, combine as cadeias de certificados em um arquivo usando o comando
cat company.ru.root.crt company.ru.intermediate.crt >> company.ru_ca.crt e verifique se está tudo bem com os certificados usando o comando
/ opt / zimbra / bin / zmcertmgr confirmcrt comm /tmp/company.ru/company.ru.key /tmp/company.ru/company.ru.crt /tmp/company.ru/company.ru_ca.crt . Após a verificação dos certificados e da chave, é possível prosseguir com a instalação.
Para iniciar a instalação, primeiro combinaremos o certificado de domínio e as cadeias confiáveis das autoridades de certificação em um arquivo. Isso também é feito usando um comando no formato
cat company.ru.crt company.ru_ca.crt >> company.ru.bundle . Depois disso, é necessário executar o comando para gravar todos os certificados e a chave no LDAP:
/ opt / zimbra / libexec / zmdomaincertmgr savecrt company.ru company.ru.bundle company.ru.key e, em seguida, instale os certificados usando o comando
/ opt / zimbra / libexec / zmdomaincertmgr deploycrts . Após a instalação, os certificados e a chave do domínio company.ru serão armazenados na pasta
/opt/zimbra/conf/domaincerts/company.ru .
Repetindo essas etapas usando nomes de domínio diferentes, mas com o mesmo endereço IP, você pode obter o local de várias centenas de domínios no mesmo endereço IPv4. Ao mesmo tempo, você pode usar certificados de vários centros de emissão sem problemas. Você pode verificar a exatidão de todas as ações executadas em qualquer navegador, onde para cada nome de host virtual seu certificado SSL deve ser exibido.
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da Zextras, Ekaterina Triandafilidi, pelo e-mail katerina@zextras.com