Kein Zugriff auf die WebGUI nach Import eines SSL-Zertifikates erstellt durch OpenSSL

[swift_jan]

Hallo,

ich glaube ich habe irgendeinen Fehler beim Import eines Selbst erstellten SSL-Zertifikats gemacht..

Ich betreibe einen Cluster aus drei Nodes und auf dem ersten Node habe ich das Zertifikat, was ich über OpenSSL erstellt habe, hochgeladen.
Nachdem es Hochgeladen wurde, kann ich die WebGUI des ersten Nodes nicht mehr erreichen. ´Über die anderen Nodes komme ich zwar noch soweit an meine VMs von Node 1 ran, aber ich komme auf keine der Einstellungen mehr ran, außer der Shell. Bei allen anderen Sachen sagt er mir dauernd nur "Laden..." und bricht dann mit "Communication failure (0)" ab. Ich habe mich auch schon etwas herumgelesen und habe es mit

pvecm updatecertcs --force

systemctl restart pveproxy

versucht, jedoch ohne Erfolg. Verstanden habe ich den Befehl so, dass er mir die Zertifikate neu schreibt, falls das so richtig ist.

Ich habe einfach keine Ahnung mehr was ich noch so probieren kann, da ich auch ein kompletter Neuling in Sachen Linux und Proxmox demnach bin.

Ich nutze die Version 6.2-4

Falls irgendwelche logs gebraucht werden, dann sagt mir bitte wie ich da ran komme.
Derzeit weiß ich nur:

journalctl -b -u pveproxy

Sep 22 12:47:36 proxmaster pveproxy[12892]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[12893]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12892 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: starting 1 worker(s)
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12893 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12924 started
Sep 22 12:47:36 proxmaster pveproxy[12924]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent
Sep 22 12:47:36 proxmaster pveproxy[12894]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12894 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: starting 2 worker(s)
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12925 started
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12926 started
Sep 22 12:47:36 proxmaster pveproxy[12925]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent
Sep 22 12:47:36 proxmaster pveproxy[12926]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent

Und danke schon mal im Voraus
Grüße
Jan

PS: Falls die Frage aufkommt: Ich möchte einfach nur ein einfaches SSL-Zertifikat, damit nicht jedes meiner Geräte immer sagt dass es eine nicht-sichere Verbindung ist. Das alles bleibt bei mir im lokalen Netzwerk und wird nicht nach draußen geroutet.

 

[fabian]

rm /etc/pve/local/pveproxy-ssl.pem && systemctl restart pveproxy auf dem node wo das zertifikat falsch ist sollte abhilfe schaffen bzw den originalzustand wieder herstellen

 

[swift_jan]

Ehm.. okay.. Danke? Das war jetzt doch leichter als ich es erwartet hatte

Wie kann so ein Fehler eigentlich passieren? Ich meine.. Ich bin den Anweisungen von OpenSSL einfach gefolgt und habe ein Zertifikat nach dieser https://mherbst.de/de/articles-internet/erstellungeigenersslzertifikate/ Anleitung erstellt oder sind gewisse Einstellungen darin Falsch für Proxmox?

 

[fabian]

ich weiß nicht welche dateien du genau hochgeladen hast bzw was da drin stand.. der fehler im log sagt dass kein (gültiger) key vorhanden ist

 

[swift_jan]

Kann ich dir das Zertifikat irgendwie schicken?

 

[fabian]

openssl rsa -noout -modulus -in /PFAD/ZUM/KEYFILE
openssl x509 -noout -modulus -in /PFAD/ZUM/ZERTIFIKAT

sollten den selben wert und keine fehlermeldungen anzeigen

file /PFAD/ZUM/KEYFILE /PFAD/ZUM/ZERTIFIKAT

sollte "PEM RSA private key" bzw "PEM certificate" anzeigen

 

[swift_jan]

openssl rsa -noout -modulus -in /PFAD/ZUM/KEYFILE

Modulus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

openssl x509 -noout -modulus -in /PFAD/ZUM/ZERTIFIKAT

Modulus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

file /PFAD/ZUM/KEYFILE /PFAD/ZUM/ZERTIFIKAT

:~$ file ./****.key
./****.key: PEM RSA private key
:~$ file ./****.crt
./****.crt: PEM certificate

Hm.. Also wenn das auch so richtig ist, dann verstehe ich nicht wieso das Zertifikat Fehlerhaft sein soll..

 

[fabian]

vielleicht ein copy-paste fehler?

 

[swift_jan]

vielleicht ein copy-paste fehler?

Wie soll das gehen, wenn ich das Zertifikat selber bei Proxmox doch nur hochladen brauche und nichts selber eintragen muss?

 

[swift_jan]

vielleicht ein copy-paste fehler?

Proxmox verlangt doch nach einem "Privaten Schlüssel" der Optional ist und nach einer "Zertifikatskette" Ist das nicht richtig wenn ich einfach die .crt für beide Felder nutze und hochlade?

 

[fabian]

Proxmox verlangt doch nach einem "Privaten Schlüssel" der Optional ist und nach einer "Zertifikatskette" Ist das nicht richtig wenn ich einfach die .crt für beide Felder nutze und hochlade?

nein! der private schlüssel ist optional, weil das zertifikat das hochgeladen wird den bestehenden schlüssel verwenden kann (z.b. bei einer verlängerung des zertifikats). im schlüsselfeld muss der schlüssel (oder nichts, falls wiederverwendet), im zertifikatskettenfeld die zertifikatskette sein..

 

[swift_jan]

nein! der private schlüssel ist optional, weil das zertifikat das hochgeladen wird den bestehenden schlüssel verwenden kann (z.b. bei einer verlängerung des zertifikats). im schlüsselfeld muss der schlüssel (oder nichts, falls wiederverwendet), im zertifikatskettenfeld die zertifikatskette sein..

Mit anderen Worte: "Was hab ich da für einen Mist gemacht" Ja gut.. Ich bin noch Azubi und neu in Sachen Zertifikaten und eben auch Linux :'D Die Zertifikatskette ist dann bitte was aus dem mir erstellten Zertifikat? Oder passt das schon wenn das Zertifikat bei der Zertifikatskette hochgeladen wird?

 

[fabian]

kein stress - alle haben irgendwann mal bei null angefangen zertifikatskette heißt endzertifikat + optional CA zertifikate drüber:
https://en.wikipedia.org/wiki/Chain_of_trust

 

[swift_jan]

kein stress - alle haben irgendwann mal bei null angefangen zertifikatskette heißt endzertifikat + optional CA zertifikate drüber:
https://en.wikipedia.org/wiki/Chain_of_trust

Ehm.. Okay... Check ich jetzt leider nicht wirklich.. Also das was ich über OpenSSL erstellt habe ist ein Root-Zertifikat und daraus muss ich ein Endzertifikat machen oder bin ich doch zu blöde dafür?

 

[swift_jan]

kein stress - alle haben irgendwann mal bei null angefangen zertifikatskette heißt endzertifikat + optional CA zertifikate drüber:
https://en.wikipedia.org/wiki/Chain_of_trust

Ach egal, ich durchforste mal weiter das Internet und lese mich mal mehr in den Themen ein. Irgendwann werde ich es schon haben

Sonst sage ich einfach mal Danke und (Keine Ahnung ob das hier so läuft :'D) das Thema kann dann geschlossen werden.

Gruß
Jan