+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как заставить встроенного клиента ACME включить больше SAN?, Proxmox Виртуальная Среда

clsa

Guest

12.10.2023 18:35:00

Коротко говоря, у нас есть саморазвёрнутый сервер ACME (step-ca), и мы хотим добавить неполностью квалифицированное имя хоста и его IP-адрес в качестве SAN для совместимости. Как это сделать с помощью встроенных функций Proxmox? Кажется, что https://pve.proxmox.com/pve-docs/pvenode.1.html не содержит подходящих параметров конфигурации. Спасибо.

VictorSTS

Guest

27.03.2024 20:25:00

Не уверен, но, скорее всего, это связано с тем, что PVE поддерживает только Let's Encrypt в качестве ACME-сервера [1]. Учитывая, что LE требует имена, разрешаемые через Интернет, логично, что PVE не поддерживает имена, отличные от FQDN. [1] https://pve.proxmox.com/wiki/Certificate_Management#sysadmin_certs_get_trusted_acme_cert

clsa Guest	#3 0 26.10.2023 22:38:00 Есть кто-нибудь?

phauch Guest	#4 0 21.03.2024 15:30:00 Похоже, использование IP-адресов с ACME сейчас вызывает проблемы, поскольку Proxmox пишет эти IP-адреса в поля DNS SAN. Больше информации об этой ошибке можно найти по ссылке https://bugzilla.proxmox.com/show_bug.cgi?id=4687.

clsa Guest	#5 0 26.03.2024 15:39:00 Спасибо за подсказку. Но как ты заставил встроенного клиента ACME "видеть" SAN?

phauch

Guest

26.03.2024 20:01:00

В начале у меня тоже был этот вопрос, и из документации было не совсем понятно. Но нужно просто добавить несколько доменов под Node -> System -> Certificates -> ACME. Раз для каждого узла может использоваться только один тип challenge, Proxmox автоматически объединяет все записи доменов в один сертификат. Конечно, можно настроить это и через командную строку, используя pvenode config set --acme "account=my-acme-account,domains=proxmox01.example.com;proxmox.example.com;10.0.0.1" и запросить его с помощью pvenode config get. Надеюсь, это поможет!

clsa

Guest

27.03.2024 20:13:00

К сожалению, короткие/неполные доменные имена (например, просто "proxmox" вместо "proxmox.example.com") по-прежнему отклоняются при использовании этого метода. Раз этот баг, который вы упоминали, кажется, не привлекает особого внимания, может быть, стоит покопаться в исходном коде, чтобы найти обходной путь. Сначала я думал, что мне просто не хватает какого-нибудь неочевидного аргумента командной строки, но, скорее всего, проблема гораздо глубже.

clsa

Guest

02.04.2024 17:22:00

Точно. acme.sh отлично поддерживает IP-адреса как SAN. Так почему Proxmox блокирует эту функцию (или не реализует её корректно, судя по https://bugzilla.proxmox.com/show_bug.cgi?id=4687)? Нельзя путать SAN с требованиями к валидации. Кстати, уже есть RFC документ для валидации на основе IP: https://datatracker.ietf.org/doc/rfc8738/

phauch Guest	#9 0 03.04.2024 18:19:00 На самом деле, Proxmox поддерживает и другие ACME-серверы. Но добавить их можно только через CLI: Код: pvenode acme account register default info@example.com --directory https://ca.example.com/acme/acme/directory

tnemrap Guest	#10 0 24.01.2025 10:17:00 Я настроил локальный CA на основе Step CA для использования в моей сети. Подключил Proxmox к моему CA через acme. IP-адрес и FQDN работают хорошо, но жалуется, если использовать только имя хоста. Если использовать клиент Step CA, то имя хоста работает хорошо: step ca certificate proxmox.local --san proxmox.local --san proxmox --san 192.168.192.26 proxmox.local.crt proxmox.local.key --provisioner acme, но я бы предпочёл использовать встроенную функциональность acme.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры