Proxmox - IP-cím, Certificate csere - [Megoldva]

Fórumok

Telepítettem a Proxmox-ot az egyik szerverünkre, de nem a belső hálózatunkba tettem, hanem ideiglenes jelleggel egy másik "Privát VLAN-ba".
Azonban most szeretném átrakni a szervert a belső hálózatunkba, ahol másik IP-címet szeretnék adni a szervernek.

Hogyan oldható meg, hogy a Proxmox telepítése során automatikusan létrehozott tanúsítványban lecseréljem az IP-címet (ha jól tudom ilyet nem lehet csinálni), vagy egy teljesen új tanúsítványt generáljon a Proxmox az IP-cím csere után (FQDN nem változik)?

Az alábbi oldalt találtam: https://pve.proxmox.com/wiki/Certificate_Management
Itt nem írnak túl sok mindent, de azt írják, hogy:
"Certificates are managed with the Proxmox VE Node management command (see the pvenode(1) manpage)."
továbbá:
"Do not replace or manually modify the automatically generated node certificate files in /etc/pve/local/pve-ssl.pem and /etc/pve/local/pve-ssl.key or the cluster CA files in /etc/pve/pve-root-ca.pem and /etc/pve/priv/pve-root-ca.key."

Nézegetem a pvenode leírását, de nem tudom, hogyan kellene felparamétereznem, hogy új tanúsítvány generálódjon (az új emailcímmel):
https://pve.proxmox.com/pve-docs/pvenode.1.html

A `pvenode config get` parancs kimenete üres, de a `pvenode cert info` parancs kiírja a tanúsítvány adatait.

Több oldalon is a `pvecm updatecerts --force` parancs futtatását javasolták. Viszont a pvecm == Proxmox VE Cluster Manager, de nálam nincs Cluster, ezért pl a `pvecm nodes` és a `pvecm status` parancsok is csak hibaüzenetet adnak vissza (a `pvecm updatecerts --force` parancsot még nem próbáltam futtatni).
 

Hozzászólások

A Proxmox beleteszi a san-ba (Subject Alternative Names). Benne van a 127.0.0.1, localhost, IP-cím, hostnév, teljes FQDN is.

Mivel a szerver még nincs éles üzemben, ezért futtattam a `pvecm updatecerts --force` parancsot, majd újraindítottam a szervert.

Annak ellenére, hogy nincs Cluster létrehozva a pvecm újragenerálta a tanúsítványt (a tanúsítvány júni. 21-től érvényes, biztos van rá magyarázat, hogy miért nem júni. 22-től). Holnap majd cserélem az IP címet is és utána újra futtatom a `pvecm updatecerts --force` parancsot, majd meglátjuk ...

Ma átírtam a szerver IP-címét is, és újra futtattam a `pvecm updatecerts --force` parancsot; a tanúsítványba már az új IP-cím került.

Ha az alább felsorolt fájlokat nem törlöm (igaz a CA-t nem is akarom újragenerálni), akkor is létrehozza az új tanúsítványokat (gondolom a '--force' opció használata miatt):

  • /etc/pve/pve-root-ca.pem
  • /etc/pve/priv/pve-root-ca.key
  • /etc/pve/nodes/<node>/pve-ssl.pem
  • /etc/pve/nodes/<node>/pve-ssl.key

[ Megoldva! ]