Realm fehlt auf Loginseite

Arvyr

Member
Nov 29, 2019
33
3
8
33
Storkow (Mark)
Hallo,

Ich habe bei einem meiner Proxmoxserver versucht die Zertifikate auszutauschen.
Das klappte auch beim ersten mal. Danach hatte ich noch Anpassungen am Sperrlistenverteilpunkt auf der CA gemacht und die neu erstellten Zertifikate hochgeladen.
Leider war dann die Webseite nicht mehr erreichbar und systemctl status pveproxy meldet:

Bash:
/etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent.pm line 1737.
Also habe ich die Zertifikate auf der Konsole gelöscht und mit "pvecm updatecerts --force" neue erzeugt.
Aber nach einem Neustart der Dienste, selbst des ganzen Servers, bleibt der Punkt "Realm" leer.

Den Server hatte ich zwar erst recht frisch aufgesetzt, aber statt einer kompletten Neuinstallation wäre mir lieber, ich könnte das händisch wieder reparieren.
 

fabian

Proxmox Staff Member
Staff member
Jan 7, 2016
4,301
671
133
eventuell nochmal pveproxy und pvedaemon neustarten? ansonsten bitte pveversion -v und log output posten..
 

Arvyr

Member
Nov 29, 2019
33
3
8
33
Storkow (Mark)
Neustarts der Dienste hatte ich mehrfach gemacht und den Server selbst ebenfalls mindestens 2 mal rebootet übers Wochenende.
Gerade als ich heute hier reinschaue und mich verbinden möchte, um die angefragten Daten auszulesen, funktioniert es wieder.
(Proxmox will mich wohl veräppeln xD).

Musste jedoch noch den Browsercache einmal löschen.

Ich vermute der Fehler lag am Passwort für den Privatekey den ich definitiv beim 2. Versuch mitgegeben hatte (vlt. wäre hierzu ein direkter Hinweis auf der GUI ganz nützlich).

Übrigens, was wäre die saubere Lösung für das Einspielen von Zertifikaten? Die alten vorher löschen oder kann ich die problemlos da belassen?
 

fabian

Proxmox Staff Member
Staff member
Jan 7, 2016
4,301
671
133
es gibt in der GUI einen eigenen reiter dafür - key muss ohne passwort sein.
 

Arvyr

Member
Nov 29, 2019
33
3
8
33
Storkow (Mark)
es gibt in der GUI einen eigenen reiter dafür - key muss ohne passwort sein.
Bezieht sich das mit dem Reiter aufs Löschen? Weil ich sehr wohl weiß, WO der Button sich befindet.
Wäre nur die Frage ob vorheriges Löschen besser wäre oder nicht. Aber ich werde es so machen, dass ich neue Zertifikate einspiele und dann die alten entferne.

Noch eine Frage zu den SANs - bei den Self-Signed-Zertifikaten stehen noch 127.0.0.1, ::1 und localhost mit drin.
Haben die eine wichtige Funktion für irgendwas? Aus Sicherheitsgründen sollten derartige Einträge eigentlich nicht in einem Zertifikat sein.
 

fabian

Proxmox Staff Member
Staff member
Jan 7, 2016
4,301
671
133
das zertifikat und der key werden so oder überschrieben, löschen macht also keinen unterschied.. für das self-signed zertifikat ist der eintrag unbedenklich - default wird dem ja ohnehin nicht vertraut. solange die connection nicht über diese SANs passiert, wird das zertifikat auch nicht als trusted dafür abgelegt. wenn die connection über diese SANs passiert, sollten sie aber drin stehen damit der hostname/IP check nicht auch noch fehlschlägt.
 

Arvyr

Member
Nov 29, 2019
33
3
8
33
Storkow (Mark)
Nunja, von außen könnte ich sowieso keine Verbindung via 127.0.0.1 herstellen.
Mich hätte nur interessiert, ob interne Dienste von Proxmox vom Zertifikat gebrauch machen und es daher sinnvoll ist, diese Einträge drin zu haben.
 

fabian

Proxmox Staff Member
Staff member
Jan 7, 2016
4,301
671
133
aber vom host selbst (curl, API clients, ..) ;)
 

Arvyr

Member
Nov 29, 2019
33
3
8
33
Storkow (Mark)
Selbst diese Tools würden von den localhost-Einträgen keinen Gebrauch machen, wenn ich damit von außen zugreife oder auf etwas zugreifen möchte, das extern liegt.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!