Wie ssh-Keys in PVE integrieren?

O

omavoss

Active Member
Mar 15, 2024
176
29
28
Hallo alle hier,

bitte beantwortet mir die Frage. Ich habe mit Puttygen unter Windows einen öffentlichen und einen privaten Schlüssel erstellt und auf dem Windows-Client gespeichert. Nun müssen die Schlüssel an die richtigen Stellen auf den PVE kopiert werden. Doch daran scheitere ich zur Zeit.

Google und auch Perplexity helfen nicht so richtig weiter, vor allem was den Speicherort der SSH-Keys auf dem PVE angeht. Mit WinSCP kenne ich mich mit den Grundlagen aus.

Hintergrund:
Ich möchte Vaultwarden auf dem PVE nach einer Vielzahl von Fehlschlägen endlich mal zum Funktionieren bringen, aber dafür ist https-Login erforderlich, was hier bisher übergangen wurde.

Bitte schreibt mir, wie ich das Problem lösen kann, oder schickt wenigstens einen oder mehrere Links, wo ich etwas Definitives darüber nachlesen kann.

Vielen Dank und beste Grüße.
 
also wenn du wirklich denn ssh-key meinst den kann man ganz normal per
Code: 
ssh-copy-id
auf das ziel übertragen, dort wird dann die
Code: 
.ssh/authorized_keys
erstellt
 
  • Like
Reactions: ThoSo
Hallo alle hier,
es ging gesten bei mir etwas durcheinander.

Ich möchte meinen PVE über https erreichen, dafür brauche ich ein Zertifikat. Ihr habt vollkommen Recht, ein SSH-Key-Paar ist dafür ungeeignet.
Ich habe jetzt certbot2.9.0.exe heruntergeladen und installiert. Jetzt geht es darum, das Zertifikat zu erstellen. Ich melde mich wieder, wenn ich Probleme haben sollte, was aber mit relativ hoher Wahrscheinlichkeit eintreten wird.

Danke und beste Grüße.
 
mit certbot.exe wirst du auf einem linux system nicht viel erreichen
proxmox hat doch alles schon am board was man dafür braucht (gerade bei mir gemacht)
 
Last edited:
Wenn du mehrere Dienste per https aufrufen möchtest, machst Du das am besten wie folgt:
- VM mit Docker + Portainer
- Reverse Proxy nach Wahl als Docker Container (Nginx, oder Zoraxy)
- weiterhin notwendig: dyndns oder eigene domain
- Portforwarding 80 und 443 auf die Docker VM
- Split DNS für das lokale LAN, entweder über den Router einen lokalen DNS Server (z.B. pihole VM)

Und dann kannst Du per LetsEncrypt Zertifikate in den Reverse Proxy holen, und https Aufrufe auf die jeweiligen Instanzen verteilen. Wenn das erstrmal steht, ist das beliebig skalierbar.

Alternativ kann man das auch alles in eine *sense Firewall mit den jeweiligen AddOns packen (ACME Client, HAproxy etc).
 
  • Like
Reactions: Browbeat
micneu said:
...
proxmox hat doch alles schon am board was man dafür braucht (gerade bei mir gemacht)
Click to expand...
Ja, alles an Bord. Ich komme bis zum Namen der Domain, meine müsste eigentlich heißen pve.fritz.box, aber Proxmox mag nicht. Eine Dyndns-Domain habe ich bei spdyn.de (xxxxyyzz.spdns.eu), mit myfritz müsste es auch gehen.
ThoSo said:
Lesestoff : https://linux-admin-blog.de/2022/04/09/eigene-ca-fuer-zertifikatserstellung/
Click to expand...
Lesen und danach umsetzen ist manchmal nicht so einfach, wie es aussieht. Man scheitert oft an Kleinigkeiten , , , aber es macht auch Spaß, sich mit den auftauchenden Schwierigkeiten auseinanderzusetzen. Ich mache mich jetzt ans Lesen und umsetzen.
 
omavoss said:
pve.fritz.box,
Click to expand...
Ist bei fritzboxen so. Wenn du den mit dem namen von einem endgerät aus auch so anpingst, und eine antwort bekommst, bzw. der Name in die IP aufgelöst wird, dann klappt das auch mit dem DNS und FQDN. Immer vorausgesetzt, die Fritzbox ist auch für dein internes DNS zuständig.


Also deine „Domain“ ist Fritz.box
PVE.fritz.box ist der FQDN deines Proxmoxservers.
 
Last edited:
@omavoss ich persönlich mache das nicht mit einer FRITZbox sondern direkt auf Proxmox mit meiner eigenen Domain die ich bei desec.io habe
 
Last edited:
micneu said:
@omavoss ich persönlich mache das nicht mit einer FRITZbox sondern direkt auf Proxmox mit meiner eigenen Domain die ich bei desec.io habe
Click to expand...
Eigentlich habe ich auch eine Domain bei 1&1, habe die aber bisher noch niemals benutzt. Es es sinnvoll, sich damit im Zusammenhang mit dem Zertifikat zu beschäftigen?
 
omavoss said:
Eigentlich habe ich auch eine Domain bei 1&1, habe die aber bisher noch niemals benutzt. Es es sinnvoll, sich damit im Zusammenhang mit dem Zertifikat zu beschäftigen?
Click to expand...
Das kann man pauschal so nicht beantworten.
Zum einen hängt es davon ab, was deine "Domain" bei 1&1 alles beinhaltet. Dazu gehört nicht notwendiger Weise ein SSL Zertifikat - das kann dabei sein, oder als Option mit einem ordentlichen Aufpreis. Meistens wird es aber auf ein Zertifikat von Lets Encrypt hinauslaufen, das dieses kostenfrei ist. Aber dann auch nur für eine bei deiner Domain erstellten Webseite, bzw. für Systeme die dort im DNS stehen und für Lets Encrypt erreichbar sind. Dabei auch nicht vergessen, das diese alle 3 Monate erneuert werden müssen - automatisch oder manuell.

Was mich jetzt mal umtreibt ist die Frage, warum das selbst erstellte Zertifikat deines PVEs Dir nicht ausreicht, nur um auf das Webprotal zu zu greifen? Mich juckt der Sicherheitshinweis nicht, wenn der Browsers das Zertifikat nicht als "Hochoffiziell" oder "vertrauenswürdig" ansieht . Es ist ja jetzt kein Gerät das im Internet steht, das man nicht kennt. Klar, schöner ist es wenn das einfach durchläuft, aber dann brauchst entweder eines das von einer offiziellen Zertifizierungsstelle stammt (kostenpflichtig, oder den Weg für Lets Encrypt frei machen) - dann kannst das auch für deine Restlichen Anwendungen (HomeAssistent, Baikal-Kalender, eMail, u.v.a.) nutzen.

Oder aber, du schaffst Dir eine eigene Zertifizierungsstelle (Linux in einer VM oder CT, Windows Server, OPNsense) mit einem Stammzertifikat für eine interne Domain (z.B.: "oma.voss" oder "omavoss.local"), das auf deinen Clients (PC, Pads, Handys) nur einspielen musst und dann kannst schalten und walten wie du möchtest. Deine interne DNS muss dann auch mit der eigene Domain laufen (LinuxVm-CT, OPNsense), die dann für alles andere wiederum auf auf öffentliche DNS Server verweist. Deiner Fritzbox weißt dann ebenfalls den internen DNS Server zu - sonst wird das nix.

Freie Auswahl: Abenteuerland mit Aussicht auf Katzentisch oder AllesGutSoWieEsIst ;)


Das habe ich noch vergessen: Alles schön sauber Dokumentieren.
 
Last edited:
  • Like
Reactions: Browbeat and Johannes S
You must log in or register to reply here.
Top Bottom