Proxmox GUIの証明書

前回のエントリを書いたときにProxmox GUIの証明書は導入済だったのだけど、メモを残していなかったので記載しておく。

DNSチャレンジをする方法もあるのだが、HTTP-01の方が簡単なので、そちらで行った。この方法は自鯖さんのこの記事を参考にして設定した。

リバースプロキシに80番ポートはすべて割り振るようにOpenWRTのFirewallのPort Forwardingで設定しておき、リバースプロキシの設定で80番ポートをProxmox VEのノードへの単純転送設定を行っておく。これで、certbotがHTTP-01チャレンジをするときにローカルのサーバまでリクエストが返ってくる。普段は、80番ポートは空いていないので問題はない。

certbotを実行すると自動更新設定自体は、自動で行ってくれるのだけど、Proxmox GUI向けの証明書の配置場所はLetsencryptが取得する証明書の場所とは異なるので自鯖さんの記事では定期的にコピーをするスクリプトを記載し、certbotのrenewのタイミングでpost-hookを設定している。ちなみに、certbot自体が更新処理の登録を行うようになっているのだけど、私の環境では、/etc/crontabではなく、systemd-timerにcertbot.timerとして登録されるため、該当スクリプトは/etc/letsencrypt/renewal-hooks/post以下に配置すればよく、/etc/crontabは特に編集しない。

自鯖さんは、Proxmoxの構築に関してはかなり参考になった。サイトではすでにDNS-01に変更しているが、そちらは面倒なのでまだできていない。まあ、いずれ。