IT-Virtuoso

Proxmox SSL-Zertifikate mit Let’s Encrypt & Cloudflare

von Tobias Rombey

20. Juli 2025

Proxmox SSL-Zertifikate mit Let’s Encrypt und Cloudflare 🌐

In dieser Anleitung erfährst du, wie du dein Proxmox VE-Webinterface mit einem vertrauenswürdigen SSL-Zertifikat von Let’s Encrypt absicherst. Die Validierung erfolgt dabei über DNS‑01‑Challenge mit Hilfe von Cloudflare.

🧰 Voraussetzungen

  • Eigene Domain, verwaltet per Cloudflare
  • Proxmox VE-Server mit Admin-Zugang
  • Cloudflare API Token mit „Edit zone DNS“-Rechten
  • Zone ID deiner Domain in Cloudflare

1. Cloudflare: Zone ID & API-Token erstellen

  1. Melde dich bei Cloudflare an und öffne deine Domain – du findest Account ID und Zone ID unten rechts :contentReference[oaicite:2]{index=2}.
  2. Unter Get your API tokenCreate Token → wähle das Template „Edit Zone DNS“ aus. Notiere das ausgegebene Token.

2. DNS‑Eintrag für Proxmox setzen

  • Lege in Cloudflare einen A‑Record für deine Proxmox‑Subdomain an (z. B. proxmox.deinedomain.tld → deine IP).
  • Deaktiviere Proxy (orange cloud), damit Port 8006 direkt erreichbar bleibt

3. Proxmox: ACME-Account & Cloudflare‑Plugin konfigurieren

🔐 a) ACME-Account anlegen

  • In der GUI: Datacenter → ACME → Accounts → Add
  • Trage Name, E‑Mail ein, wähle Let’s Encrypt v2, akzeptiere AGB und klicke auf Register

🧩 b) DNS-Plugin hinzufügen

  • Unter Datacenter → ACME → Challenge Plugins → Add
  • Wähle Cloudflare Managed DNS und gib CF_Account_ID, CF_Token ein.

4. Zertifikat anfordern

  1. Wechsle zum gesuchten Node (z. B. pve1) → System → Certificates → ACME → Add
  2. Stelle ein:
    • Challenge Type: DNS
    • Plugin: dein Cloudflare‑Plugin
    • Domain: z. B. proxmox.deinedomain.tld
  3. Klicke auf Order Certificate Now – Proxmox legt den TXT‑Record via API an und holt das Zertifikat. Erfolg: TASK OK

🔄 Automatische Erneuerung

Proxmox erneuert Zertifikate automatisch (~ alle 60–90 Tage) per DNS‑01 über Cloudflare.

🛡 Zusätzliche Sicherheit & Tipps

  • Internes DNS-Mapping (via Pi-hole, AdGuard, Router): So bleibt der Traffic intern, obwohl du öffentlich gültiges SSL nutzt
  • WebAuthn/2FA setzt gültiges Zertifikat voraus – optimalerweise in Kombination mit akademisch gesteuertem Proxy (z. B. Nginx‑Proxy‑Manager).
  • Alternativ: Nutze Reverse‑Proxy‑Container wie Nginx‑Proxy‑Manager, falls du deine Proxmox-Oberfläche nicht direkt exposed willst 

✅ Zusammenfassung

1️⃣ Cloudflare: Account ID, Zone ID & API-Token erstellen

2️⃣ DNS: A‑Record für Proxmox‑Subdomain ohne Proxy

3️⃣ Proxmox: ACME-Account & Cloudflare‑Challenge‑Plugin anlegen

4️⃣ Domain hinzufügen → Zertifikat ordern → Automatische Erneuerung

Damit nutzt du dein Proxmox-Webinterface sicher unter: https://proxmox.deinedomain.tld:8006 – ohne Browser-Warnungen, mit gültigem SSL, automatischer Erneuerung und optionaler zusätzlicher Absicherung durch WebAuthn oder Reverse‑Proxy.

Falls du Unterstützung bei der Einrichtung benötigst oder den Text auf deiner Webseite (z. B. Markdown in GitLab oder HTML) verwenden möchtest – sag einfach Bescheid! 😊