Table des matières

Installer un certificat signé par une CA Microsoft dans Proxmox

Principe

Proxmox utilise :

L’objectif est donc de :

Générer le CSR sur Proxmox

La clé privée existante sera utilisée.

La génération de la demande I(CSR) permet de renseigner le Common Name (CN) et le SAN en indiquant exactement le nom FQDN du nœud Proxmox.

Dans le nœud Proxmox (SSH) : 

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
CN = proxmox.lab.local

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = proxmox.lab.local
openssl req -new -key pve-ssl.key \
  -out proxmox.lab.local.csr \
  -config san.cnf


# openssl req -in proxmox.lab.local.csr -noout -text
Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: CN=proxmox.lab.local
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:cc:98:da:a3:41:21:8f:97:56:72:b2:39:fe:20:
                    ...
                    c1:96:9b:c8:7a:a5:8f:dc:c7:df:0f:52:19:5e:40:
                    63:79
                Exponent: 65537 (0x10001)
        Attributes:
            Requested Extensions:
                X509v3 Subject Alternative Name: 
                    DNS:proxmox.lab.local
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        61:dc:b9:44:2c:77:82:26:f5:ff:47:1b:69:d8:88:af:4c:4a:
        ...       
        c0:f0:57:8e:b2:60:d0:62:2e:06:c2:54:96:25:03:f0:04:c8:
        f1:51:9c:3f

Faire signer la CSR par la Microsoft CA

Installer le certificat sur Proxmox

Placer les fichiers : 

cp certnew.cer /etc/pve/local/pve-ssl.pem
cp certnew.pb7 /etc/pve/local/pve-root-ca.pem

Redémarrer les services Proxmox

systemctl restart pveproxy
systemctl restart pvedaemon
openssl x509 -in /etc/pve/local/pve-ssl.pem -noout -text

automatisation renouvellement (ADCS modèle avec auto-enroll)