Logo mark Archiwum

Zabezpieczanie panelu Proxmox darmowym certyfikatem SSL

Poradniki
poradnik-miesiąca, proxmox, ssl
KMatuszak
KMatuszak Weteran

Witam. W tym poradniku pokażę jak zabezpieczyć panel Proxmox darmowym certyfikatem SSL od Let's Encrypt 😄

1. Po co certyfikat SSL?

  • Jeżeli korzystamy z panelu Proxmox bez certyfikatu SSL to po wejściu na adres panelu widzimy taki komunikat: image|690x407,75%
  • Bez certyfikatu wszystkie żądania wysyłane do serwera nie są szyfrowane przez co ktoś może je podsłuchiwać
  • image|76x25 wygląda lepiej niż image|208x26 😉

2. Co będzie nam potrzebne?

3. Do dzieła!

Klikamy image|360x33 i logujemy się do panelu danymi podanymi przy instalacji. image|426x222 Wybieramy image|146x31 i przechodzimy do image|132x32 . Klikamy image|100x34 i wpisujemy naszą subdomenę wraz z domeną: image|318x178 Klikamy przycisk image|89x35 a następnie image|120x32 . Zaznaczamy ptaszka obok image|134x24 i wpisujemy swój adres e-mail. image|423x241 Klikamy przycisk image|83x32 . Teraz czekamy aż konto zarejestruje się. image|508x198 Jeżeli wyskoczy okienko logowania to logujemy się ponownie. Po zalogowaniu zamknij okienko i wciśnij przycisk image|113x30 . Teraz certyfikat zostanie wygenerowany a składniki Proxmoxa zostaną uruchomione ponownie. image|690x350,75% Teraz uruchamiamy przeglądarkę ponownie lub uruchamiamy inną i wchodzimy na adres panelu. Certyfikat już działa :slight_smile:

image|337x303

|84x126Poradnik miesiąca: kwiecień 2019

golem
golem

Ale wiesz ze certyfikat w proxmox masz tylko self signed i cały ruch i tak jest szyfrowany

bopke
bopke Moderator forum.lvlup.pro

self-signed powoduje ostrzeżenia w przeglądarce, które są irytujące, warto poświęcić chwile żeby się ich pozbyć, szczególnie, jeżeli nie jest się jedyną osobą korzystającą z panelu :)

golem
golem

wystarczy zaakceptować , co nie zmienia faktu ze głupoty są popisane w tym poradniku w stylu "Bez certyfikatu wszystkie żądania wysyłane do serwera nie są szyfrowane przez co ktoś może je podsłuchiwać" tylko w proxmox certyfikat mamy na +10 lat obligatoryjnie i wszystko jest szyfrowane

bopke
bopke Moderator forum.lvlup.pro

golem:

“Bez certyfikatu wszystkie żądania wysyłane do serwera nie są szyfrowane przez co ktoś może je podsłuchiwać” Bez certyfikatu tak właśnie jest. To, że proxmox daje selfsigned to swoją drogą, nie rozumiem co jest tu nielogicznego :thinking: Poradnik zapewne celuje w ludzi którzy chcą mieć profesjonalniej lub po prostu nie straszyć innych ostrzeżeniem. Przeciętny użytkownik powinien utożsamiać takie ostrzeżenie z tym, że stronie nie wolno ufać, bo coś jest nie tak, a nie z tym, że należy je zignorować!

golem
golem

Jeżeli korzystamy z panelu Proxmox bez certyfikatu SSL to po wejściu na adres panelu widzimy taki komunikat:

Jak bez certyfikatu? jak domyślnie jest certyfikat ! i to na 10lat , do tego propaganda z podsłuchem źle to jest napisane i tyle nie ma co brnąć dalej tylko poprawić

liamdj23
liamdj23

golem:

jak domyślnie jest certyfikat ! i to na 10lat Niech będzie i nawet na cały wiek, ale jeśli przeglądarka wyświetla ostrzeżenie a Proxmox daje możliwość wygenerowania certyfikatu od LE to znaczy, że ten domyślny nie jest taki super bezpieczny jak mówisz ;)

golem
golem

A wiesz dlaczego wyświetla przeglądarka ostrzeżenie ? czy silą szyfrowania self signed jest gorsza od auth ? po co do bicie piany durnoty są popisane poprawcie to bo jeszcze ktoś uwierzy ze proxmox default jest bez certyfikatu :)

KMatuszak
KMatuszak Weteran

Myślę że nie ma potrzeby poprawiania czegokolwiek, poradnik jest głównie dla osób mniej doświadczonych i ma na celu zachęcenie do instalacji Let's Encrypt aby przeglądarka nie straszyła, oraz pokazuje jak poprawnie to zrobić.

liamdj23
liamdj23

To po co jest wbudowana funkcja do generowania certyfikatu skoro domyślny jest taki genialny?

golem
golem

Serio pytasz nie wiesz po co został stworzony LE ? tu forum onetu ?

liamdj23
liamdj23

Nie pytam dlaczego został stworzony LE tylko dlaczego istnieje funkcja do wygenerowania go w Proxmox, skoro ten self-signed jest taki najlepszy na świecie

Lumpiasty
Lumpiasty Stały bywalec

Forum onetu to chyba Ty tutaj robisz, to było pytanie retoryczne.

Zacząłeś się czepiać, że LE jest nikomu niepotrzebne, a teraz:

golem:

Serio pytasz nie wiesz po co został stworzony LE?

golem
golem

Ja rozumiem dla kogo to jest napisane , ale jeżeli robisz już poradnik i zabierasz się za wytłumaczenie czegoś komuś zrób to rzetelnie i poprawnie, jeżeli nie wiedziałeś to już wiesz co jest źle ,nie chce tu się wymądrzać ani spierać zwyczajnie zwracam uwagę na błędy.

DBanaszewski
DBanaszewski α-tester v3

Niestety, ale wg mnie tutaj błędów nie ma. Self-signed SSL jest na tyle niebezpieczny, że bardzo łatwo go można sfałszować i JEST NIEAKCEPTOWALNY PRZEZ PRZEGLĄDARKI, CO ODSTRASZA INNYCH I TO BARDZO - dlatego opcja "użyj tego certyfikatu" jest dostępna po kliknięciu odpowiedniego guzika (jeżeli to tak można nazwać).

Certyfikat od LE jest ciężko sfałszować, ponieważ istnieją dwa sposoby weryfikacji - po HTTP i po DNS.

Powiedzmy, że mamy HSTS na wszystkich stronach WWW powiązanych domeną np. darmowevpsy.pl. Jeżeli na stronie będziemy mieli self-signed SSL, będziemy mogli tylko i wyłącznie całować klamkę - HSTS nie pozwoli nawet na dodanie certyfikatu do magazynu zaufanych (?).

Pisanie o tym, po co jest tutaj generowany certyfikat od LE jest nie na miejscu. Certyfikaty self-signed są naruszeniem bezpieczeństwa jeżeli dana usługa jest wystawiona na świat; jeżeli nie, można to jakoś zaakceptować.

Jeżeli autor, który to zapoczątkował, będzie dalej toczył wylew swoich racji, od razu piszę -> Twoja teza, że poradnik zawiera błędy (teza bez argumentów sama się obala) i po co generować certyfikat od LE, została już obalona wcześniej i to nie przeze mnie.

golem
golem

Widzę ze dyskusja odbiega od tematu zupełnie:)

Jeżeli korzystamy z panelu Proxmox bez certyfikatu SSL to po wejściu na adres panelu widzimy taki komunikat:

To zdanie jest blednę Domyślnie korzystamy z certyfikatu ! fakt ze self signed ale jest i w pełni zabezpiecza nam transmisje przed podsłuchem

Bez certyfikatu wszystkie żądania wysyłane do serwera nie są szyfrowane przez co ktoś może je podsłuchiwać

I o to dowiadujemy sie że taki obrazek oznacza ze nie mamy certyfikatu oczywiście jest to nieprawda bo certyfikat mamy self signed i dlatego taki otrzymujemy komunikat

Żeby było jasne nie chodzi mi tu o żadne LE o wyższości certyfikatów bo jasne ze generalnie autoryzowany cert jest lepszy , tylko z początku art dowiadujemy sie że prox domyślnie nie ma cert i nasz ruch jest podsłuchiwany a to są totalne durnoty i potem ktoś zobaczy kiedyś gdzieś taka stronę jak na obrazku i będzie powtarzał głupoty

KMatuszak
KMatuszak Weteran

golem:

Domyślnie korzystamy z certyfikatu

Według przeglądarki jest nieprawidłowy, więc można uznać że go nie ma :slight_smile:

golem:

I o to dowiadujemy sie że taki obrazek oznacza ze nie mamy certyfikatu oczywiście jest to nieprawda bo certyfikat mamy self signed i dlatego taki otrzymujemy komunikat

Może i mamy, lecz nie taki jaki być powinien 😉

golem
golem

KMatuszak:

Według przeglądarki jest , więc można uznać że go nie ma :slight_smile: Według przeglądarki jest , wiec go nie ma :rofl:

KMatuszak:

Może i mamy, lecz nie taki jaki być powinien

OK wygrałeś chyba , a może nie , można uznać że chyba tak ? 😂

KMatuszak
KMatuszak Weteran

Jak już cytujesz to nie pomijaj pojedynczych słów 😉

Damian28w
Damian28w

Ehh Ludzie po co ta długa i bez sensowna dyskusja ? 1.Nikt nie zmusza do używania certyfikatu, z tym jak z zabezpieczeniem do sexu, chcesz kupujesz nie to nie i wieżysz ze akurat bedziesz miał (złudne) szczezscie. 2.Poradnik jest fajny i potrzebny. 3.Masz wiedzę napisz Ty :)