Bár triviálisnak tűnik, az ember (köztük Én) hajlamos elfelejteni a módszerét ennek a ritkán ismétlődő igénynek: Proxmox node-okon a telepítő által webfelülethez (pontosabban pveproxy) generált ssl tanúsítvány cseréje. Érdemes inkább megörökíteni, hogy később ne okozzon fejfájást és időrablást az újabb internetes kutatás.
Az alábbiak frissen telepített Proxmox 6.0-án, így Debian 10-en történnek. Feltételezem, hogy egy ideálisan beállított node-on vagy, amelynek van publikus ip címe (vagy legalábbis ide jut be), és van egy, az ip címhez társított host neved. Példának kedvéért:
- host neved: pve01.host.hu
- ip címed: 1.1.1.1
Feltételezem azt is, hogy nincs webszerver telepítve a node-on, vagyis azt, hogy egy program sem használja a 80-as portot.
Mint minden webhely tanúsítványa, ez is 3 fontos dolgot igényel: tanúsítványt, privát kulcsot és a felsőbb szintű lánc tanúsítványokat – ebben tehát nincs ördöngösség. A plusz az, hogy a pveproxy-t kell újra indítani.
Először is célszerű telepíteni a certbot-ot:
#apt install certbot
Ezután kérjünk egy tanúsítványt:
certbot certonly --standalone --preferred-challenges http -d pve01.host.hu
Ezzel tulajdonképpen meg is vagy. Megkérdez 1-2 dolgot (email cím, hozzájárulás), majd ha a hitelesítés rendben lefut, máris legenerálta a tanúsítványt, kulcsot és miegymást, amire csak szükséged lehet. Mindezt az /etc/letsencrypt/live/pve01.host.hu könyvtárban fogod megtalálni.
A következő lépésben másold át az alábbi fájlokat az /etc/pve/local könyvtárba:
- /etc/letsencrypt6archive/pve01.host.hu/fullchain1.pem
- /etc/letsencrypt6archive/pve01.host.hu/privkey1.pem
Ezek tulajdnonképpen symlinkelve vannak a korábban említett /etc/letsencrypt/live/pve01.host.hu könyvtárba, csak éppen symlinket nem lehet használni az /etc/pve könyvtárban, így a tényleges tartalmat kell áthelyezni.
Következő lépésben le kell cserélned a Proxmox tanúsítványát és kulcsát. ezt mindig az adott node könyvtárában találod, amit az /etc/pve/local alatt találsz. Ide másoltad át az előbbiekben a fájlokat, és itt fogod megtalálni pve-ssl.key és pve-ssl.pem fájlokat, amelyekt most lecserélsz. Ha gondolod, előtte mentsd le ezeket.
Átnevezések:
- /etc/pve/local/fullchain1.pem -> /etc/pve/local/pve-ssl.pem
- /etc/pve/local/privkey1.pem -> /etc/pve/local/pve-ssl.key
Ezután már csak újra kell indítanod a pveproxy szolgáltatást.
#systemctl restart pveproxy
A webfelület pedig máris valid. Ha mégsem (és ez előfordulhat), akkor először próbáld ki privát ablakban, majd ha ott jól működik, akkor egyszerűen csak zárd be a korábbi tab-ot/ablakot, és nyiss egy újat, abban nyisd meg a Proxmox webfelületét.
