Kein Zugriff auf die WebGUI nach Import eines SSL-Zertifikates erstellt durch OpenSSL

swift_jan

Active Member
Aug 31, 2020
42
2
28
25
Germany, Lower Saxony, near Brunswick
Hallo,

ich glaube ich habe irgendeinen Fehler beim Import eines Selbst erstellten SSL-Zertifikats gemacht..

Ich betreibe einen Cluster aus drei Nodes und auf dem ersten Node habe ich das Zertifikat, was ich über OpenSSL erstellt habe, hochgeladen.
Nachdem es Hochgeladen wurde, kann ich die WebGUI des ersten Nodes nicht mehr erreichen. ´Über die anderen Nodes komme ich zwar noch soweit an meine VMs von Node 1 ran, aber ich komme auf keine der Einstellungen mehr ran, außer der Shell. Bei allen anderen Sachen sagt er mir dauernd nur "Laden..." und bricht dann mit "Communication failure (0)" ab. Ich habe mich auch schon etwas herumgelesen und habe es mit
Code:
pvecm updatecertcs --force

systemctl restart pveproxy
versucht, jedoch ohne Erfolg. Verstanden habe ich den Befehl so, dass er mir die Zertifikate neu schreibt, falls das so richtig ist.

Ich habe einfach keine Ahnung mehr was ich noch so probieren kann, da ich auch ein kompletter Neuling in Sachen Linux und Proxmox demnach bin.

Ich nutze die Version 6.2-4

Falls irgendwelche logs gebraucht werden, dann sagt mir bitte wie ich da ran komme.
Derzeit weiß ich nur:
Code:
journalctl -b -u pveproxy

Sep 22 12:47:36 proxmaster pveproxy[12892]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[12893]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12892 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: starting 1 worker(s)
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12893 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12924 started
Sep 22 12:47:36 proxmaster pveproxy[12924]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent
Sep 22 12:47:36 proxmaster pveproxy[12894]: worker exit
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12894 finished
Sep 22 12:47:36 proxmaster pveproxy[7982]: starting 2 worker(s)
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12925 started
Sep 22 12:47:36 proxmaster pveproxy[7982]: worker 12926 started
Sep 22 12:47:36 proxmaster pveproxy[12925]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent
Sep 22 12:47:36 proxmaster pveproxy[12926]: /etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent

Und danke schon mal im Voraus :)
Grüße
Jan

PS: Falls die Frage aufkommt: Ich möchte einfach nur ein einfaches SSL-Zertifikat, damit nicht jedes meiner Geräte immer sagt dass es eine nicht-sichere Verbindung ist. Das alles bleibt bei mir im lokalen Netzwerk und wird nicht nach draußen geroutet.
 
rm /etc/pve/local/pveproxy-ssl.pem && systemctl restart pveproxy auf dem node wo das zertifikat falsch ist sollte abhilfe schaffen bzw den originalzustand wieder herstellen
 
  • Like
Reactions: hscheele
ich weiß nicht welche dateien du genau hochgeladen hast bzw was da drin stand.. der fehler im log sagt dass kein (gültiger) key vorhanden ist
 
Code:
openssl rsa -noout -modulus -in /PFAD/ZUM/KEYFILE
openssl x509 -noout -modulus -in /PFAD/ZUM/ZERTIFIKAT

sollten den selben wert und keine fehlermeldungen anzeigen

Code:
file /PFAD/ZUM/KEYFILE /PFAD/ZUM/ZERTIFIKAT

sollte "PEM RSA private key" bzw "PEM certificate" anzeigen
 
openssl rsa -noout -modulus -in /PFAD/ZUM/KEYFILE
Code:
Modulus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

openssl x509 -noout -modulus -in /PFAD/ZUM/ZERTIFIKAT
Code:
Modulus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

file /PFAD/ZUM/KEYFILE /PFAD/ZUM/ZERTIFIKAT
Code:
:~$ file ./****.key
./****.key: PEM RSA private key
:~$ file ./****.crt
./****.crt: PEM certificate

Hm.. Also wenn das auch so richtig ist, dann verstehe ich nicht wieso das Zertifikat Fehlerhaft sein soll..
 
vielleicht ein copy-paste fehler?
 
Proxmox verlangt doch nach einem "Privaten Schlüssel" der Optional ist und nach einer "Zertifikatskette" Ist das nicht richtig wenn ich einfach die .crt für beide Felder nutze und hochlade?

nein! der private schlüssel ist optional, weil das zertifikat das hochgeladen wird den bestehenden schlüssel verwenden kann (z.b. bei einer verlängerung des zertifikats). im schlüsselfeld muss der schlüssel (oder nichts, falls wiederverwendet), im zertifikatskettenfeld die zertifikatskette sein..
 
nein! der private schlüssel ist optional, weil das zertifikat das hochgeladen wird den bestehenden schlüssel verwenden kann (z.b. bei einer verlängerung des zertifikats). im schlüsselfeld muss der schlüssel (oder nichts, falls wiederverwendet), im zertifikatskettenfeld die zertifikatskette sein..
Mit anderen Worte: "Was hab ich da für einen Mist gemacht" Ja gut.. Ich bin noch Azubi und neu in Sachen Zertifikaten und eben auch Linux :'D Die Zertifikatskette ist dann bitte was aus dem mir erstellten Zertifikat? Oder passt das schon wenn das Zertifikat bei der Zertifikatskette hochgeladen wird?
 
kein stress - alle haben irgendwann mal bei null angefangen ;) zertifikatskette heißt endzertifikat + optional CA zertifikate drüber:
https://en.wikipedia.org/wiki/Chain_of_trust
Ehm.. Okay... Check ich jetzt leider nicht wirklich.. Also das was ich über OpenSSL erstellt habe ist ein Root-Zertifikat und daraus muss ich ein Endzertifikat machen oder bin ich doch zu blöde dafür?
 
kein stress - alle haben irgendwann mal bei null angefangen ;) zertifikatskette heißt endzertifikat + optional CA zertifikate drüber:
https://en.wikipedia.org/wiki/Chain_of_trust
Ach egal, ich durchforste mal weiter das Internet und lese mich mal mehr in den Themen ein. Irgendwann werde ich es schon haben :)

Sonst sage ich einfach mal Danke und (Keine Ahnung ob das hier so läuft :'D) das Thema kann dann geschlossen werden.

Gruß
Jan :)
 
  • Like
Reactions: fabian

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!