Realm fehlt auf Loginseite

[Arvyr]

Hallo,

Ich habe bei einem meiner Proxmoxserver versucht die Zertifikate auszutauschen.
Das klappte auch beim ersten mal. Danach hatte ich noch Anpassungen am Sperrlistenverteilpunkt auf der CA gemacht und die neu erstellten Zertifikate hochgeladen.
Leider war dann die Webseite nicht mehr erreichbar und systemctl status pveproxy meldet:

/etc/pve/local/pveproxy-ssl.key: failed to load local private key (key_file or key) at /usr/share/perl5/PVE/APIServer/AnyEvent.pm line 1737.

Also habe ich die Zertifikate auf der Konsole gelöscht und mit "pvecm updatecerts --force" neue erzeugt.
Aber nach einem Neustart der Dienste, selbst des ganzen Servers, bleibt der Punkt "Realm" leer.

Den Server hatte ich zwar erst recht frisch aufgesetzt, aber statt einer kompletten Neuinstallation wäre mir lieber, ich könnte das händisch wieder reparieren.

 

[fabian]

eventuell nochmal pveproxy und pvedaemon neustarten? ansonsten bitte pveversion -v und log output posten..

 

[Arvyr]

Neustarts der Dienste hatte ich mehrfach gemacht und den Server selbst ebenfalls mindestens 2 mal rebootet übers Wochenende.
Gerade als ich heute hier reinschaue und mich verbinden möchte, um die angefragten Daten auszulesen, funktioniert es wieder.
(Proxmox will mich wohl veräppeln xD).

Musste jedoch noch den Browsercache einmal löschen.

Ich vermute der Fehler lag am Passwort für den Privatekey den ich definitiv beim 2. Versuch mitgegeben hatte (vlt. wäre hierzu ein direkter Hinweis auf der GUI ganz nützlich).

Übrigens, was wäre die saubere Lösung für das Einspielen von Zertifikaten? Die alten vorher löschen oder kann ich die problemlos da belassen?

 

[fabian]

es gibt in der GUI einen eigenen reiter dafür - key muss ohne passwort sein.

 

[Arvyr]

es gibt in der GUI einen eigenen reiter dafür - key muss ohne passwort sein.

Bezieht sich das mit dem Reiter aufs Löschen? Weil ich sehr wohl weiß, WO der Button sich befindet.
Wäre nur die Frage ob vorheriges Löschen besser wäre oder nicht. Aber ich werde es so machen, dass ich neue Zertifikate einspiele und dann die alten entferne.

Noch eine Frage zu den SANs - bei den Self-Signed-Zertifikaten stehen noch 127.0.0.1, ::1 und localhost mit drin.
Haben die eine wichtige Funktion für irgendwas? Aus Sicherheitsgründen sollten derartige Einträge eigentlich nicht in einem Zertifikat sein.

 

[fabian]

das zertifikat und der key werden so oder überschrieben, löschen macht also keinen unterschied.. für das self-signed zertifikat ist der eintrag unbedenklich - default wird dem ja ohnehin nicht vertraut. solange die connection nicht über diese SANs passiert, wird das zertifikat auch nicht als trusted dafür abgelegt. wenn die connection über diese SANs passiert, sollten sie aber drin stehen damit der hostname/IP check nicht auch noch fehlschlägt.

 

[Arvyr]

Nunja, von außen könnte ich sowieso keine Verbindung via 127.0.0.1 herstellen.
Mich hätte nur interessiert, ob interne Dienste von Proxmox vom Zertifikat gebrauch machen und es daher sinnvoll ist, diese Einträge drin zu haben.

 

[fabian]

aber vom host selbst (curl, API clients, ..)

 

[Arvyr]

Selbst diese Tools würden von den localhost-Einträgen keinen Gebrauch machen, wenn ich damit von außen zugreife oder auf etwas zugreifen möchte, das extern liegt.