Proxmox backup server: меняется fingerprint после обновления сертификата

При получении нового сертификата… меняется fingerprint

ДАВЫЧО?!?! Надо срочно подтянуть матчасть по сертификатам и не пороть пургу на лоре…

И проксмокс тут ни при чем. Убирай из тегов.

Вы ,простите, идиот?

Где-то написано, что проблема в изменении отпечатка сертификата,,?

Проблема в том, что ломается процедура бекапа.

А ты что-то кроме перехода на личности освоил к своим пяти звездАм?

Ну, и раз уж ты сюда вклинился, может, у тебя и решение есть по этим вводным?

ну это не я про матчасть начал…

по сути вопроса сказать нечего. много смотрел в сторону проксмокса сервера резервного копирования, но так и не понял, что он такого делает? резервное копирование и так есть в проксмоксе.

костыль - загрузить свой сертификат ca и выписать сертификаты насервера хоть на 10 лет.

Я, наверное, тему некорректно назвал (надо было там написать именно что бэкап ломается), отсюда и недопонимание возникло.

Попробую поискать/поднять тему на форуме проксмокса, может они предложат архитектурно правильное решение. Самому на ум ничего, кроме костылей, не приходит.

много смотрел в сторону проксмокса сервера резервного копирования, но так и не понял, что он такого делает? резервное копирование и так есть в проксмоксе.

Самое главное - он обеспечивает отличную дедупликацию (кто-то говорил, что там casync под капотом; я не проверял). Есть и другие полезные фичи, но это - основное.

Если Вы используете Proxmox (в более-менее типовом корпоративном продакшене), то я настоятельно рекомендую использовать PBS вместе с ним. Даже с учётом поднятого в этой теме вопроса с fingerprint’aми.

Так как ты не уточнил, чем именно мешает изменение отпечатка и приколочен ли конкретный отпечаток к какой-то процедуре, будем считать, что вся проблема в том, что к сертификату нет доверия и он руками добавлен в «доверенные».

Поэтому, вариантов два:

1. обращаться за выдачей сертификатов в УЦ, доверие к которому имеется на уровне ОС. (например, letsencrypt. и не надо «у нас замкнутый контур» и прочее это всё. можно получить сертификаты даже для машин в интранете. даже автоматически.)
2. поднять свой УЦ, настроить доверие к этому УЦ на уровне ОС, выпускать сертификаты через этот УЦ.

Читал?

Important_Note

можно получить сертификаты даже для машин в интранете. даже автоматически.

для домена cloud.loc ?

для домена cloud.loc ?

Нет, для нормальных доменов (ru, net, com и т.д.). Для подтверждения владения доменом используется DNS-challenge. Недавно (в 7.2, кажется), в Proxmox добавили в WebUI возможность настроить получение+авто-обновление сертификата LetsEncrypt с подтверждением по DNS. До 7.2 - тоже делалось, но сложнее. Естественно, нужно дать Proxmox’у доступ к редактированию записей DNS (там огромная куча хуков для большинства популярных сервисов либо ПО).

Читал?

Important_Note

Нет, до этого не читал. На первый взгляд — то что нужно! Спасибо!