Inhaltsverzeichnis
Letzte Aktualisierung am 25.12.2023, 11:12:59 Uhr
Ich nutze für die Virtualisierung meines Homelab seit letzten Jahr Proxmox Virtual Environment (PVE) Für die regelmäßige Sicherung der Umgebung bietet sich natürlich die Verwendung von Proxmox Backup Server (PBS) an.
Beide Produkte werden primär über eine Web UI administriert. Hierbei wird nach der Installation für die Oberfläche jeweils ein Self-Signed Zertifikat erstellt und für die Verschlüsselung der Verbindung genutzt. Das hat zur Folge, dass natürlich jeder moderne Browser beim Aufruf der Web UI entsprechende Warnung/Fehlermeldung angezeigt. Das ist heute mit Let’s Encrypt (LE), den vorhandenen Tools für den automatischen Abruf von SSL-Zertifikaten sowie Sicherheit nicht mehr State of the Art.
Daher möchte ich in diesem Artikel exemplarisch die Einrichtung von ACME unter PVE als auch PBS einmal aufzeigen.
Rahmenbedingungen
Nachstehend die Details zur meiner Umgebung.
Komponente/Produkt | PVE | PBS |
Version | 8.1.3 | 3.0.4 |
FQDN | pve01.lab.lan.daniel.wydler.eu. | pbs01.lab.lan.daniel.wydler.eu. |
Internetzugriff | Ja | Ja |
Der Zugriff ins Internet ist erforderlich um mit der API von LE und Hetzner kommunizieren zu können.
Meine verwendete Domain für diesen Test liegt bei Hetzner Online GmbH. Im Grunde geht auch jeder anderer Hoster, welcher von acme.sh unterstützt wird. Eine Liste findet ihr hier.
Erstellen eines Access Token
Nachstehend eine Beschreibung für die Erstellung eines Zugriffsschlüssel in der DNS Console bei Hetzner Online GmbH.
Ich bin ein Fan davon jedem Gerät einen dedizierten Token zu geben. Falls es später zu einer Kompromittierung kommt, ist der Schlüssel schnell gelöscht, ohne das diese große Auswirkungen auf andere Geräte hat.
Die Seite dns.hetzner.com aufrufen und mit gültigen Zugangsdaten anmelden. |
Den angezeigten Schlüssel kopieren und am Besten in einem Passwort Manager o.ä. sichern. |
Konfiguration von PVE
In einem Browser die Weboberfläche von PVE aufrufen und mit gültigen Zugangsdaten anmelden.
Punkt 1: Bei der Plugin ID handelt es sich um den Module Name, welcher durch acme.sh definiert wurde. Es gibt hierzu natürlich gute Übersicht auf einer Wiki Seite. Dort den entsprechenden Hoster suchen und den Link folgen. In meinem Fall heißt das Modul „dns_hetzner“.
Punkt 4: Bei dem API Data geht es im Grund um die Parameter. Diese sind auf der selben Wiki Seite bzw. im Link zur Dokumentation des gewählten Hoster zu finden. In meinem Fall gibt es nur den Parameter „HETZNER_token“ dem ich den zuvor erstellten Token in der DNS Console von Hetzner zuweise. Wichtig sind die Anführungszeichen! |
Es hat in diesen Fall keine Fehler gegeben. Das Zertifikat konnte abgerufen werden und wurde dem Webserver zugewiesen. D.h. den TAB mit der Web UI schließen und neu aufrufen. Nun erscheint keine Warnung/Fehler mehr bezüglich des SSL-Zertifikats. |
Konfiguration von PBS
In einem Browser die Weboberfläche von PBS aufrufen und mit gültigen Zugangsdaten anmelden.
Den selben Access Token wie bei PVE nehmen. Alternativ gerne auch einen weiteren Token in der DNS Console bei Hetzner Online GmbH erzeugen. |
Es hat in diesen Fall keine Fehler gegeben. Das Zertifikat konnte abgerufen werden und wurde dem Webserver zugewiesen. D.h. den TAB mit der Web UI schließen und neu aufrufen. Nun erscheint keine Warnung/Fehler mehr bezüglich des SSL-Zertifikats. |
Viel Spaß beim Ausprobieren. 🙂