Получение бесплатных ssl сертификатов и установка их в Proxmox

Proxmox https

В данном посте я решаю сразу 2 задачи. Первая, это получение халявного валидного ssl сертификата\ов на который не будут ругаться все современные браузеры (ну или почти все) на всех платформах (ну или почти на всех).

Вторая задача, это замена самоподписанных сертификатов Proxmox на полученные халявные и валидные сертификаты.

Данный пост был навеян банальной ленью, надоело постоянно жать подтверждение на не валидный ssl сертификат засунутый в Proxmox, особенно надоело это делать на смартфоне и планшете, где это не всегда удобно.

1. Получаем сертификаты, пользуясь статьей на хабре

http://habrahabr.ru/post/127643/

2. Подготовка сертификатов

Сертификаты надо перегенерировать в PEM формат и расшифровать закрытый ключ. После манипуляций мы должны получить следующее:

ca.crt : CA сертификат в PEM формате
server.key : не защищенный паролем приватный ключ
server.pem : сертификат сервера в PEM формате

Все это я делю тут https://sslguru.ru/ssl-tools.html и сильно не запариваюсь. У кого паранойя и повышенные требования к безопасности, могут все сделать через командную строку.

3. Установка сертификатов

Делаем бэкап родных сертификатов

cp /etc/pve/pve-root-ca.pem /etc/pve/pve-root-ca.pem.orig
cp /etc/pve/local/pve-ssl.key /etc/pve/local/pve-ssl.key.orig
cp /etc/pve/local/pve-ssl.pem /etc/pve/local/pve-ssl.pem.orig

Копируем свои сертификаты в нужные места

cp server.key /etc/pve/local/pve-ssl.key
cp server.pem /etc/pve/local/pve-ssl.pem
cp ca.pem /etc/pve/pve-root-ca.pem

Перезапускаемся

service pveproxy restart && service pvedaemon restart

Если у вас есть кластер, то сертификаты надо установить на все ноды (только те, что по этому пути /etc/pve/local). А потом внимательно проверить каждую ноду на нормальную работу.

Смотрите так же:

Получение бесплатных ssl сертификатов и установка их в Proxmox: 2 комментария

  1. А я вот решил получать все сертификаты через Let`s Encryp.
    https://nahoste.ru/bezopasnost/sertifikaty-lets-encrypt-dlya-nginx/

    Как по мне так вполне удобно, особенно для своих серверов.

    PS: Не знаю уместна публикация ссылок или нет, если нет удали :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.