Buscar entradas

Las máquinas virtuales KVM en proxmox no inician por error de certificado en VNC

Intro

Normalmente prefiero correr containers en los proxmox, pero quiero probar un sistema de monitorización nuevo que viene como iso, así que me dispuse a crear una nueva máquina kvm. Después de tenerla creada voy a instalar el sistema y para ello arranco la máquina, pero resulta que no arranca.

El mensaje de error que obtengo es el siguiente:

kvm: -vnc unix:/var/run/qemu-server/102.vnc,x509,password: Failed to start VNC server: Our own certificate /etc/pve/local/pve-ssl.pem failed validation against /etc/pve/pve-root-ca.pem: The certificate hasn’t got a known issuer
start failed: command ‘/usr/bin/kvm -id 102 -chardev ‘socket,id=qmp,path=/var/run/qemu-server/102.qmp,server,nowait’ -mon ‘chardev=qmp,mode=control’ -pidfile /var/run/qemu-server/102.pid -daemonize -smbios ‘type=1,uuid=cf6a2c6e-87ce-4cd2-8808-3d02e2d97307’ -name temp -smp ‘1,sockets=1,cores=1,maxcpus=1’ -nodefaults -boot ‘menu=on,strict=on,reboot-timeout=1000,splash=/usr/share/qemu-server/bootsplash.jpg’ -no-acpi -vga std -vnc unix:/var/run/qemu-server/102.vnc,x509,password -cpu qemu64 -m 4096 -k es -device ‘pci-bridge,id=pci.2,chassis_nr=2,bus=pci.0,addr=0x1f’ -device ‘pci-bridge,id=pci.1,chassis_nr=1,bus=pci.0,addr=0x1e’ -device ‘piix3-usb-uhci,id=uhci,bus=pci.0,addr=0x1.0x2’ -device ‘usb-tablet,id=tablet,bus=uhci.0,port=1’ -device ‘virtio-balloon-pci,id=balloon0,bus=pci.0,addr=0x3’ -iscsi ‘initiator-name=iqn.1993-08.org.debian:01:fdd1a9b4471c’ -drive ‘file=/var/lib/vz/template/iso/PandoraFMS7.0NG.719.x86_64.iso,if=none,id=drive-ide2,media=cdrom,aio=threads’ -device ‘ide-cd,bus=ide.1,unit=0,drive=drive-ide2,id=ide2,bootindex=200’ -drive ‘file=/dev/ssd/vm-102-disk-1,if=none,id=drive-virtio0,format=raw,cache=none,aio=native,detect-zeroes=on’ -device ‘virtio-blk-pci,drive=drive-virtio0,id=virtio0,bus=pci.0,addr=0xa,bootindex=100’ -netdev ‘type=tap,id=net0,ifname=tap102i0,script=/var/lib/qemu-server/pve-bridge,downscript=/var/lib/qemu-server/pve-bridgedown,vhost=on’ -device ‘virtio-net-pci,mac=5A:A0:1C:F5:B6:2C,netdev=net0,bus=pci.0,addr=0x12,id=net0,bootindex=300’ -machine ‘accel=tcg» failed: exit code 1

De todo ésto la parte importante está al principio, la que dice:

kvm: -vnc unix:/var/run/qemu-server/102.vnc,x509,password: Failed to start VNC server: Our own certificate /etc/pve/local/pve-ssl.pem failed validation against /etc/pve/pve-root-ca.pem: The certificate hasn’t got a known issuer

Parece que el sistema no reconoce el certificado SSL del servidor.

 

Solución

Pues nada, a hacer un poco de google y ver que pasa.

Encontré la siguiente entrada de un blog: Failed to start VNC server: Our own certificate /etc/pve/local/pve-ssl.pem failed validation

Allí se explica la razón, el emisor del certificado no era reconocido por proxmox. Copio y pego la solución del blog, que me ha servido perfectamente:

He descargado de Comodo la cadena entera de certificados raiz:
https://support.comodo.com/?/Knowledgebase/Article/View/620

En concreto he descargado el archivo
comodo-rsa-domain-validation-sha-2-w-root.ca-bundle
Y he metido su contenido en /etc/pve/pve-root-ca.pem

Después, reincio un par de demonios y listo:

# systemctl restart pvedaemon

# systemctl restart pveproxy

 

[box] Antiguo:

root@vm11:~# /etc/init.d/pvedaemon restart

[ ok ] Restarting pvedaemon (via systemctl): pvedaemon.service.

root@vm11:~# /etc/init.d/pveproxy restart

[ ok ] Restarting pveproxy (via systemctl): pveproxy.service.[/box]

 

Agradecimientos

Es de bien nacido ser agradecido, así que ahí va: Gracias Sergio López por mostrarnos el camino.