文件名称:证书管理-思科命令手册
文件大小:3.85MB
文件格式:PDF
更新时间:2024-07-20 12:26:20
Proxmox proxmox VE 说明书 手册
3.9 证书管理 3.9.1 集群通信认证 每个 Proxmox VE 集群都会创建内部认证(CA),并为每个节点生成一个自签名的证书。这 些证书用于集群内 pveproxy 服务通信加密,以及 SPICE 控制台的 Shell/Console 通信加密。 CA 证书和密钥保存在 pmxcfs(详情见 man 手册 pmxcfs(8))。 3.9.2 认证 API 和 Web GUI 界面 Proxmox 每个服务器的 pveproxy 服务都提供了 REST API 接口和 Web GUI 界面。 在 pveproxy 中可用的 CA 认证方式如下: 1.默认情况下,使用指定节点认证文件/etc/pve/nodes/NODENAME/pve-ssl.pem。该证书由 集群 CA 签发,因此浏览器和操作系统默认不信任该证书。 2.使用外部证书(例如,由商业 CA 签发的证书)。 3.使用 ACME(例如,Let’s Encrypt)获得可信证书。 第 2、3 种认证方式使用/etc/pve/local/pveproxy-ssl.pem(和/etc/pve/local/pveproxy-ssl.key, 默认没有保护口令)。 可以通过 Proxmox VE 节点管理命令管理证书(详情见 man 手册 pvenode(1))。 警告 不 要 替 换 或 手 工 修 改 自 动 生 成 的 节 点 证 书 文 件 /etc/pve/local/pve-ssl.pem 和 /etc/pve/local/pve-ssl.key , 以 及 集 群 CA 文 件 /etc/pve/pve-root-ca.pem 和 /etc/pve/priv/pve-root-ca.key。 通过 ACME 获取可信证书 Proxmox VE 内置了自动化证书管理 Automatic Certificate Management Enviroment,即 ACME协议,可以通过 Let’s Encrypt 轻松获取可信 TLS 证书,从而被大多数操作系统和浏览 器直接接受。 目前实现的 ACME 端点是 Let‘s Encrypt(LE)及其 staging 环境(详见 https://letsencrypt.org), 均使用标准的 HTTP 挑战问答模式。