
<div dir="ltr">thanks for the clarification and detailed answer. :)<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, May 17, 2013 at 8:25 PM, Patrice Levesque <span dir="ltr"><<a href="mailto:pve.wayne@ptaff.ca" target="_blank">pve.wayne@ptaff.ca</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>

> "hostname 10.x.x.13 does not match any certificate. do you want to<br>

> continue?" doesn't it mean my security is weaker or it is just a<br>

> warning of some kind which i can ignore?<br>

<br>

</div>AFAIK the certificate sent by the VNC server is self-signed; your<br>

tigervnc client will hence complain, as the certificate presented by the<br>

server was not signed by a recognized authority.<br>

<br>

This doesn't make the encryption less effective, but the mechanism<br>

doesn't validate you're actually connecting to the right machine¹.  If<br>

you're tunneling through SSH you can be confident your client talks to<br>

the right server² and can safely ignore the warning.<br>

<br>

To get rid of the unmatching certificate warning, you have choices:<br>

<br>

        - Override the self-signed certificates with your own certificates<br>

          (Info on <a href="http://comments.gmane.org/gmane.linux.pve.devel/464" target="_blank">http://comments.gmane.org/gmane.linux.pve.devel/464</a> might<br>

          be useful as well as other search engines results);<br>

<br>

        - Trust the CA stored in /etc/pve/pve-root-ca.pem and make sure your<br>

          domain name matches (an option to tigervnc lets you specify a CA<br>

          certificate).<br>

<br>

<br>

1) And the tigervnc client interface — at least my 1.2.0 version — does<br>

not show you anything about the certificate it receives, even in<br>

extra-verbose mode, so you cannot manually verify the match.<br>

<br>

2) Of course you *do* verify the SSH server fingerprint when you<br>

connect? :)<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

<br>

--<br>

 --====|====--<br>

    --------================|================--------<br>

        Patrice Levesque<br>

         <a href="http://ptaff.ca/" target="_blank">http://ptaff.ca/</a><br>

        <a href="mailto:pve.wayne@ptaff.ca">pve.wayne@ptaff.ca</a><br>

    --------================|================--------<br>

 --====|====--<br>

--<br>

</div></div><br>_______________________________________________<br>

pve-user mailing list<br>

<a href="mailto:pve-user@pve.proxmox.com">pve-user@pve.proxmox.com</a><br>

<a href="http://pve.proxmox.com/cgi-bin/mailman/listinfo/pve-user" target="_blank">http://pve.proxmox.com/cgi-bin/mailman/listinfo/pve-user</a><br>

<br></blockquote></div><br></div>