
В данном посте я решаю сразу 2 задачи. Первая, это получение халявного валидного ssl сертификата\ов на который не будут ругаться все современные браузеры (ну или почти все) на всех платформах (ну или почти на всех).
Вторая задача, это замена самоподписанных сертификатов Proxmox на полученные халявные и валидные сертификаты.
Данный пост был навеян банальной ленью, надоело постоянно жать подтверждение на не валидный ssl сертификат засунутый в Proxmox, особенно надоело это делать на смартфоне и планшете, где это не всегда удобно.
1. Получаем сертификаты, пользуясь статьей на хабре
http://habrahabr.ru/post/127643/
2. Подготовка сертификатов
Сертификаты надо перегенерировать в PEM формат и расшифровать закрытый ключ. После манипуляций мы должны получить следующее:
ca.crt : CA сертификат в PEM формате
server.key : не защищенный паролем приватный ключ
server.pem : сертификат сервера в PEM формате
Все это я делю тут https://sslguru.ru/ssl-tools.html и сильно не запариваюсь. У кого паранойя и повышенные требования к безопасности, могут все сделать через командную строку.
3. Установка сертификатов
Делаем бэкап родных сертификатов
cp /etc/pve/pve-root-ca.pem /etc/pve/pve-root-ca.pem.orig
cp /etc/pve/local/pve-ssl.key /etc/pve/local/pve-ssl.key.orig
cp /etc/pve/local/pve-ssl.pem /etc/pve/local/pve-ssl.pem.orig
Копируем свои сертификаты в нужные места
cp server.key /etc/pve/local/pve-ssl.key
cp server.pem /etc/pve/local/pve-ssl.pem
cp ca.pem /etc/pve/pve-root-ca.pem
Перезапускаемся
service pveproxy restart && service pvedaemon restart
Если у вас есть кластер, то сертификаты надо установить на все ноды (только те, что по этому пути /etc/pve/local). А потом внимательно проверить каждую ноду на нормальную работу.