Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:cloud:proxmox:installcertificat [2026/02/02 10:37] – créée techer.charles_educ-valadon-limoges.fr
+++ reseau:cloud:proxmox:installcertificat [2026/02/02 11:19] (Version actuelle) – [Redémarrer les services Proxmox] techer.charles_educ-valadon-limoges.fr
@@ Ligne 6: / Ligne 6: @@
   * **/etc/pve/local/pve-ssl.key** => clé privée
   * **/etc/pve/local/pve-ssl.pem** => certificat serveur
-  * **/etc/pve/local/pve-root-ca.pem** ???? => certificat de la CA (ou chaîne complète)
+  * **/etc/pve/pve-root-ca.pem** => certificat de la CA (ou chaîne complète) s'il existe un certificat signé, sinon ce fichier n'existe pas
 L’objectif est donc de :
@@ Ligne 15: / Ligne 15: @@
-===== Générer la clé privée + CSR sur Proxmox =====
+===== Générer le CSR sur Proxmox =====
+La clé privée existante sera utilisée.
 <WRAP center round info>
-La génération de la demande I(CSR) permet de renseigne le Common Name (CN) en indiquant exactement le nom FQDN du nœud Proxmox.
+La génération de la demande I(CSR) permet de renseigner le Common Name (CN) et le SAN en indiquant exactement le nom FQDN du nœud Proxmox.
 </WRAP>
 Dans le nœud Proxmox (SSH) :
+  * Créer un fichier san.cnf pour ajouter un SAN (recommandé) avec ce contenu :
 <code>
-openssl genrsa -out pve-ssl.key 4096
+[ req ]
-openssl req -new -key pve-ssl.key -out pve.csr
+default_bits = 2048
+prompt = no
+default_md = sha256
+req_extensions = req_ext
+distinguished_name = dn
+[ dn ]
+CN = proxmox.lab.local
+[ req_ext ]
+subjectAltName = @alt_names
+[ alt_names ]
+DNS.1 = proxmox.lab.local
 </code>
-Afficher plus de lignes
+   * générer le CSR
-⚠️ Important : dans le Common Name (CN), mets exactement le nom FQDN du nœud Proxmox
-Ex : pve1.mondomaine.local
-Tu peux vérifier l’empreinte de ta CSR (optionnel) :
-Shellopenssl req -in pve.csr -noout -textAfficher plus de lignes
-🥈 Étape 2 — Faire signer la CSR par la Microsoft CA
+<code>
-Option A : via https:///certsrv
-Menu Request a certificate
+openssl req -new -key pve-ssl.key \
-advanced certificate request
+  -out proxmox.lab.local.csr \
-Copier/coller le contenu de pve.csr
+  -config san.cnf
-Choisir le modèle Web Server (ou ton modèle personnalisé)
-Récupérer le certificat au format Base64 (.cer)
-Récupérer aussi la CA Root et éventuellement la sub-CA
-Option B : via PowerShell / certreq (si tu veux automatiser)
+</code>
-Créer un fichier pve.inf :
-[Version]
-Signature="$Windows NT$"
-[NewRequest]
+  * vérification de l’empreinte de ta CSR (optionnel) :
-Subject = "CN=pve1.mondomaine.local"
-Exportable = TRUE
-KeyLength = 4096
-KeySpec = 1
-KeyUsage = 0xA0
-MachineKeySet = TRUE
-SMIME = FALSE
-PrivateKeyArchive = FALSE
-ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
-RequestType = PKCS10
-[Extensions]
+<code>
-.5.29.17 = "{text}"
+# openssl req -in proxmox.lab.local.csr -noout -text
-_continue_ = "DNS=pve1.mondomaine.local"
+Certificate Request:
+    Data:
+        Version: 1 (0x0)
+        Subject: CN=proxmox.lab.local
+        Subject Public Key Info:
+            Public Key Algorithm: rsaEncryption
+                Public-Key: (2048 bit)
+                Modulus:
+:cc:98:da:a3:41:21:8f:97:56:72:b2:39:fe:20:
+                    ...
+                    c1:96:9b:c8:7a:a5:8f:dc:c7:df:0f:52:19:5e:40:
+:79
+                Exponent: 65537 (0x10001)
+        Attributes:
+            Requested Extensions:
+                X509v3 Subject Alternative Name:
+                    DNS:proxmox.lab.local
+    Signature Algorithm: sha256WithRSAEncryption
+    Signature Value:
+:dc:b9:44:2c:77:82:26:f5:ff:47:1b:69:d8:88:af:4c:4a:
+        ...
+        c0:f0:57:8e:b2:60:d0:62:2e:06:c2:54:96:25:03:f0:04:c8:
+        f1:51:9c:3f
+</code>
-Puis :
+===== Faire signer la CSR par la Microsoft CA  =====
-PowerShellcertreq -new pve.inf pve.csrcertreq -submit pve.csr pve.cerAfficher plus de lignes
+  * accéder au site http://ADCS_SERVER/certsrv
+  * Cliquez sur **Demander un certificat**
+  * Cliquez sur **demande de certificat avancée**
+  * copier-coller le contenu du fichier .csr encodé au format Base 64 et choisissez le modèle de certificat
+  * Téléchargez ensuite :
+    * le certificat au format Base64 (certnew.cer)
+    * la chaîne CA certificate (Root CA + éventuellement la subCA) (certnew.p7b)
+===== Installer le certificat sur Proxmox =====
-🥉 Étape 3 — Installer le certificat sur Proxmox
 Placer les fichiers :
-Shellcp pve-ssl.key /etc/pve/local/pve-ssl.keycp pve.cer /etc/pve/local/pve-ssl.pemAfficher plus de lignes
-Si tu as une chaîne complète (intermédiaire + root), concatène :
-Shellcat pve.cer intermediate.cer root.cer > /etc/pve/local/pve-ssl.pemAfficher plus de lignes
-Et place la racine seule dans :
-Shellcp root.cer /etc/pve/local/pve-root-ca.pemAfficher plus de lignes
-Proxmox demande bien un fichier séparé pour la root.
-🔄 Étape 4 — Redémarrer les services Proxmox
+  * copier le certificat
-Shellsystemctl restart pveproxysystemctl restart pvedaemonAfficher plus de lignes
-Pour vérifier :
+<code>
-Shellopenssl x509 -in /etc/pve/local/pve-ssl.pem -noout -text``Afficher plus de lignes
+cp certnew.cer /etc/pve/local/pve-ssl.pem
-Puis ouvre l’interface ➜ le certificat doit maintenant être valide, signé par ta CA Microsoft.
+</code>
+  * placer le certificat de la CA dans /etc/pve/local/pve-root-ca.pem:
+<code>
+cp certnew.pb7 /etc/pve/local/pve-root-ca.pem
+</code>
+===== Redémarrer les services Proxmox =====
+<code>
+systemctl restart pveproxy
+systemctl restart pvedaemon
+</code>
+  * vérification :
+<code>
+openssl x509 -in /etc/pve/local/pve-ssl.pem -noout -text
+</code>
+  * depuis le navigateur, le certificat doit maintenant être valide, signé par la CA Microsoft.
+===== automatisation renouvellement (ADCS modèle avec auto-enroll) =====
-🚀 Bonus : automatisation renouvellement (ADCS modèle avec auto-enroll)
+  * automatiser la génération/renouvellement via l'API ADCS.
-Si ton modèle de certificat est compatible, je peux aussi t’aider à automatiser la génération/renouvellement via un script shell ou API ADCS.