[SOLVED] PBS Fingerprint von proxy.pem (Certificate) entkoppeln?

[Machtl]

Hallo,

wäre es irgendwie möglich in zukünftigen Versionen vom PBS, den Fingerprint irgendwie vom SSL Zertifikat zu entkoppeln?

Jedes mal beim Updaten des Zertifikates müssen alle Proxmox-Server - welche auf diesen PBS sichern - mit dem neuen Fingerprint upgedated werden,
ansonsten verlieren diese den Zugriff auf den Backup-Storage.

Wäre es alternativ möglich beim Updates des Zertifikats am PBS, angeschlossene Proxmox Server automatisch über den neuen Fingerprint zu informieren?

MfG
Martin Lang

 

[sterzy]

Jedes mal beim Updaten des Zertifikates müssen alle Proxmox-Server - welche auf diesen PBS sichern - mit dem neuen Fingerprint upgedated werden,
ansonsten verlieren diese den Zugriff auf den Backup-Storage.

Wie wird den dieses Zertifikat erstellt? Meines Wissens müsste der Fingerprint nur bei self-signed Zertifikaten eingetragen werden. Sonst kann das Feld auch einfach frei gelassen werden. Dann wird das Zertifikat einfach ganz normal via OpenSSL verifiziert.

Sprich, wenn PVE irgendwie das Zertifikat verifizieren kann (bei z. B. Let’s Encrypt Zertifikaten ist das so) muss kein Fingerprint eingetragen werden.

Die Trennung ergibt leider keinen Sinn. Der Fingerprint ist ja der Fingerprint des Zertifikats. Es geht hier ja explizit darum, den HTTPS-Schlüssel des PBS zu verifizieren. Wenn man diese beiden Sachen trennt, hat der Check entweder wenig Sinn oder müsste mit einem selbstgebastelten Workaround verbunden werden. Letzteres ist bei Kryptografie immer schwierig.

 

[Machtl]

Hi,

danke für die Info. Das hab ich irgendwie komplett übersehen, daß der Fingerprint nur für self-signed Zertifikate nötig ist.

Unsere Zertifikate sind ganz "offizielle" Wildcard Zertifikate, keine Self-Signed. Habe gerade den Fingerprint bei nem Proxmox Server entfernt und die Verbindung ist ok.

War das schon so gewohnt mit dem Fingerprint, daß ich den immer automatisch eingetragen habe.

Alles gut, danke!

MfG
Martin Lang