PROXMOX. SSL — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
(Новая страница: «Описан способ на примере домена encry.ru Для начала получаем SSL для домена. Затем конвертир…»)
 
 
(не показано 5 промежуточных версий этого же участника)
Строка 1: Строка 1:
Описан способ на примере домена encry.ru
+
Для начала получаем SSL для домена. Затем конвертируем crt сертификат в pem, для этого выполняем поочерёдно следующие команды:
 +
# openssl x509 -in domain.ru.crt -out domain.ru.der -outform DER
 +
# openssl x509 -in domain.ru.der -inform DER -out domain.ru.pem -outform PEM
 +
 
 +
 
 +
Пихаем ключ и сертификат в проксмокс
 +
# cp domain.ru.pem /etc/pve/local/pveproxy-ssl.pem
 +
# cp domain.ru.key /etc/pve/local/pveproxy-ssl.key
 +
 
  
 +
Рестартим pveproxy. Проверяем.
  
Для начала получаем SSL для домена. Затем конвертируем crt сертификат в pem, для этого выполняем поочерёдно следующие команды:
 
  
# openssl x509 -in encry.ru.crt -out encry.ru.der -outform DER
+
Если что-то пошло не так. Например поменяли не те SSL-и и виртуалки перестали стартовать с ошибкой:
   
+
  kvm: -vnc unix:/var/run/qemu-server/155.vnc,x509,password: Failed to start VNC server: Unable to access credentials /etc/pve/local/pve-ssl.pem: No such file or directory
# openssl x509 -in encry.ru.der -inform DER -out encry.ru.pem -outform PEM
+
надо вернуться к состоянию по умолчанию.
 +
 
  
Далее, полученный encry.ru.pem и ключ encry.ru.key переименовываем в pve-ssl.pem и pve-ssl.key соответственно.
+
Для этого удаляем:
 +
/etc/pve/pve-root-ca.pem
 +
/etc/pve/priv/pve-root-ca.key
 +
/etc/pve/local/pve-ssl.pem
 +
/etc/pve/local/pve-ssl.key
  
  
Кидаем эти два файла на Proxmox в каталог /etc/pve/nodes/имя_ноды/
+
Делаем для всех хостов, если у нас есть кластер.
  
  
Рестартим pveproxy и pvedaemon. Проверяем.
+
Запускаем следующую команду для каждого узла кластера, чтобы сгенерировать сертификаты и ключи:
 +
# pvecm updatecerts -f

Текущая версия на 13:45, 8 февраля 2018

Для начала получаем SSL для домена. Затем конвертируем crt сертификат в pem, для этого выполняем поочерёдно следующие команды:

# openssl x509 -in domain.ru.crt -out domain.ru.der -outform DER
# openssl x509 -in domain.ru.der -inform DER -out domain.ru.pem -outform PEM


Пихаем ключ и сертификат в проксмокс

# cp domain.ru.pem /etc/pve/local/pveproxy-ssl.pem
# cp domain.ru.key /etc/pve/local/pveproxy-ssl.key


Рестартим pveproxy. Проверяем.


Если что-то пошло не так. Например поменяли не те SSL-и и виртуалки перестали стартовать с ошибкой:

kvm: -vnc unix:/var/run/qemu-server/155.vnc,x509,password: Failed to start VNC server: Unable to access credentials /etc/pve/local/pve-ssl.pem: No such file or directory

надо вернуться к состоянию по умолчанию.


Для этого удаляем:

/etc/pve/pve-root-ca.pem
/etc/pve/priv/pve-root-ca.key
/etc/pve/local/pve-ssl.pem
/etc/pve/local/pve-ssl.key


Делаем для всех хостов, если у нас есть кластер.


Запускаем следующую команду для каждого узла кластера, чтобы сгенерировать сертификаты и ключи:

# pvecm updatecerts -f