+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вопрос относительно понимания сертификатов., Proxmox Виртуальная Среда

SInisterPisces

Guest

22.04.2025 01:12:00

Привет! После настройки пользовательского сертификата на основе Cloudflare API для домена pve.myhost.com, всё работает, и мой список сертификатов выглядит так. Тот, что внизу – это пользовательский сертификат, который я создал. А что это за первые два? Могут ли они создавать проблемы, если их оставить? Особенно второй, в нём куча Alternate Names, включая IP-адрес. Отбросив в сторону тот факт, что я не знал, что можно указывать IP-адрес в сертификате (мне кажется, Cloudflare API этого не позволяет), он ещё и указывает IP-адрес, который больше не используется с PVE-сервером, а также pve без .myhost.com. Также там указано pve.myhost.local, которое даже не является валидным TLD в моей сети. Мне кажется, что второй сертификат — это просто Proxmox's default self-signed certificate? Ничего делать не нужно? Но, я понятия не имею, что происходит со вторым сертификатом и нужно ли что-то сделать, чтобы его очистить. Также, возможно ли вообще получить сертификат Let's Encrypt для pve без myhost.com? Могу ли я указать pve или просто IP в качестве альтернативного имени, когда я использую Cloudflare API для получения сертификата Let's Encrypt? Разрешит ли Cloudflare API это сделать? Спасибо за любые советы.

UdoB Guest	#2 0 22.04.2025 07:15:00 Я никогда этим не пользовался, но похоже, что это возможно: https://pve.proxmox.com/pve-docs/pve-admin-guide.html#sysadmin_certs_get_trusted_acme_cert

fabian

Guest

22.04.2025 08:56:00

Общедоступные доверенные сертификаты, такие как те, что выдаются Let's Encrypt, могут содержать только действительные FQDN в качестве SAN (пока что - Let's Encrypt работает над добавлением IP SAN также). Самоподписанные сертификаты могут содержать что угодно, в принципе. Можно перегенерировать самоподписанный сертификат ("pvecm updatecerts -f"), но если у вас кастомный сертификат, он особо нигде не используется (насколько я помню, только для SPICE?).

SInisterPisces

Guest

22.04.2025 18:14:00

Спасибо, что подтвердили, @fabian. Я не был уверен, но, учитывая, что для использования API нужно иметь реальный FQDN, я так и подумал. Хорошо знать, что они работают над IP SAN тоже. Просто чтобы убедиться: это не повлияет на мой собственный сертификат при регенерации самоподписанного? Сейчас проблем нет, но было бы неплохо, если бы я мог убрать старый домен и старый IP-адрес из сети, которые больше не работают, чтобы было менее запутанно.

fabian Guest	#5 0 23.04.2025 09:04:00 Нет, эти два сертификата независимы. pveproxy предпочтёт кастомный, если он есть, а перегенерация самоподписанного на него никак не влияет.

SInisterPisces Guest	#6 0 25.04.2025 18:29:00 Спасибо! Просто хотел убедиться, что случайно ничего не сломал. Я до сих пор не очень комфортно себя чувствую, когда дело касается сертификатов.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры