前言

想在 Proxmox VE 里跑 macOS 14 Sonoma?macOS 12 以上版本要求 CPU 必须支持 AVX2 指令集,先确认你的 CPU 满足再动手。

一、准备工作

  1. 下载 macOS Sonoma ISO 镜像
    可自行下载或通过教程制作:https://youtu.be/JFMvUpdCMwo
  2. 下载 KVM OpenCore 引导文件
  3. 解压下载好的 KVM OpenCore .gz 压缩包
  4. 将 Sonoma ISO 与 OpenCore ISO 上传到 Proxmox ISO 库

二、创建虚拟机(Web 面板操作)

  1. 登录 Proxmox 网页管理端
  2. 右键节点名称 → Create VM
  3. 名称:MacOSSonoma,VM ID:1400(未占用即可)→ 下一步
  4. OS 选项
  5. 类型:Other
  6. ISO 镜像:选择 KVM OpenCore.iso
    → 下一步
  7. 系统选项
  8. 显卡:VMware compatible
  9. BIOS:OVMF (UEFI)
  10. 取消:Pre-Enroll Keys
  11. 勾选:Add EFI Disk
  12. 机型:q35
  13. SCSI 控制器:VirtIO SCSI
    → 下一步
  14. 硬盘选项
  15. 总线/设备:VirtIO Block
  16. 大小:64GB
  17. 缓存:Write back (unsafe)
    → 下一步
  18. CPU 选项
  19. 核心数:4
  20. 类型:host
    → 下一步
  21. 内存选项
  22. 内存:4096MB
    → 下一步
  23. 网络选项
  24. 模型:VMware vmxnet3
    → 下一步
  25. 确认配置 → Finish

三、添加安装镜像并调整启动顺序

  1. 进入虚拟机 → 硬件Add → CD/DVD Drive
  2. 选择 macOS Sonoma.iso → Create
  3. 进入虚拟机 → 选项 → 启动顺序
  4. 将 KVM OpenCore 设为第一启动项 → 确定

四、关键配置:修改虚拟机 conf 文件

  1. 进入 Proxmox 节点控制台,执行:`# 1400 改为你的 VM ID
    nano /etc/pve/qemu-server/1400.conf`
  2. Intel CPU 在文件末尾添加:
    args: -device isa-applesmc,osk="ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc" -smbios type=2 -device qemu-xhci -device usb-kbd -device usb-tablet -global nec-ushci.msi=off -global ICH9-LPC.acpi-pci-hotplug-with-bridge-support=off -cpu host,vendor=GenuineIntel,+invtsc,+hypervisor,kvm=on,vmware-cpuid-freq=on
  3. AMD CPU 在文件末尾添加:
    args: -device isa-applesmc,osk="ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc" -smbios type=2 -device qemu-xhci -device usb-kbd -device usb-tablet -global nec-ushci.msi=off -global ICH9-LPC.acpi-pci-hotplug-with-bridge-support=off -cpu Haswell-noTSX,vendor=GenuineIntel,+invtsc,+hypervisor,kvm=on,vmware-cpuid-freq=on
  4. 搜索 ,media=cdrom
  5. 删除两个 ISO 中的 ,media=cdrom
  6. 替换为 cache=unsafe
  7. 如果是PVE 8以上,则把media=cdrom改为media=disk。直接删除会报错,无法启动虚拟机。
  8. 保存退出:
    Ctrl+O → 回车 → Ctrl+X

五、安装 macOS Sonoma

  1. 启动虚拟机,打开控制台
  2. 在 OpenCore 菜单选择 UEFI Shell → 回车
  3. 执行命令(盘符可能不同):
    `fs0:
    System\Library\CoreServices\boot.efi`
  4. 等待加载,进入 macOS 安装程序
  5. 打开 磁盘工具
  6. 选择 VIRTIO Block 磁盘
  7. 抹掉:名称 MacOS,格式 APFS
  8. 关闭磁盘工具 →安装 macOS Sonoma
  9. 按向导完成安装(会多次重启)
  10. 系统设置建议:
  11. 辅助功能:稍后
  12. 迁移助理:不迁移
  13. Apple ID:稍后设置
  14. 关闭分析、定位按需选择

六、优化:脱离 OpenCore 镜像独立启动

  1. 进入 Sonoma 系统
  2. 下载:
  3. KVM OpenCore EFI 文件夹
  4. GitHub 上的 MountEFI
  5. 打开终端执行:
    `cd ~/Downloads/MountEFI
    chmod +x MountEFI.command
    ./MountEFI.command`
  6. 选择你的 macOS 磁盘,挂载 EFI 分区
  7. 将原有 EFI 重命名为 EFI.orig
  8. 放入下载好的 OpenCore EFI
  9. 关机虚拟机
  10. 硬件中分离并删除 OpenCore 硬盘
  11. 重新开机,验证可直接进入 Sonoma

总结

这套流程利用 OpenCore + KVM 在 Proxmox VE 上成功虚拟 macOS 14 Sonoma,关键在于:

  • CPU 必须支持 AVX2
  • UEFI(OVMF) + q35 机型
  • VirtIO 磁盘与网卡
  • 正确添加 qemu args 参数
  • 最后写入 EFI 实现独立启动

按照步骤走,就能拥有一台稳定运行的黑苹果虚拟机啦~

(注:文档部分内容可能由 AI 生成)

上篇文章中我提到了进行PHP连接localhost慢的本地测试,我在本地计算机上搭建了Windows Server 2008虚拟机。安装MySQL 5.7时需要依赖Visual C++ 2013,但就在安装.NET时系统报了个错,提示信息为“已处理证书链,但是在不受信任提供程序信任的根证书中终止”。如下图:

11.png

这个错误我之前从来没有碰到过,可能是Win系统的测试环境用得少,经过一番查找,我了解到是由于Visual C++ 2013的证书并没有包含在Win2008系统中,导致系统不认为该安装程序可信。那么解决方案很显然,我们把证书装回来即可。

证书下载地址:微软官方下载

下载文件后,双击打开文件,点击“安装证书”。如下图:

2.png

点击下一步直到“证书存储”这一步,点击“浏览”按钮,选择“受信任的根证书颁发机构”,继续下一步直到结束。如下图:

3.png

最后一步会提示“安全性警告”,直接确定。

4.png

证书安装完毕之后,重新打开Visual C++ 2013安装程序,即可成功安装。如下图:

5.png

本博客使用typecho搭建,在部署到远程虚拟主机上之后,每个页面基本都需要3~4秒才能打开。

通过index.php里不断地使用二分法插入die()语句进行测试,最终定位到是连接MySQL数据库查询的时候会阻塞住2秒左右的时间,但MySQL与IIS是在同一台机器上,不应该出现延迟。

经多方查证,localhost这个默认主机名有可能在远程机器上的hosts文件中没有配置,或配置了IPv4与IPv6多条时,优先级设置有问题,这样有可能导致系统使用错误的解析地址进行处理。

开启IPv6的机器有可能会先返回“::1”,在部分场景下有可能导致判定为连接失败,然后才使用“127.0.0.1”地址处理,从而导致页面加载慢。

但经过本地环境搭建与重现,我未能重现这个问题。所以只能先抛出解决方案,其实只有一句话:

使用“127.0.0.1”代替“localhost”即可!

修改之后,问题解决!

众所周知,Windows系统有个传统艺能,就是通过“netplwiz”或者“control userpasswords2”设置免密码自动登录。前段时间在调整一台虚拟机的配置时,突然惊奇的发现,在设置免密码登录的时候居然找不到需要去掉勾选的复选框了。如下图:

iShot2022-05-11_11.52.04.png

在设置自动登录时,需要取消勾选“要使用本计算机,用户必须输入用户名和密码”复选框,然后点击确定,即会弹出自动登录时使用的用户名和密码,输入所需要自动登录的账户和密码即可。

经验证后发现,虚拟机所使用的是Win10 21H1版本的系统,该版本隐藏了这个复选框,从而无法设置自动登录。

解决该问题的方法其实非常简单,打开“运行”输入“regedit32”,进入“注册表编辑器”,打开如下路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device

双击右侧的“DevicePasswordLessBuildVersion”,将值由2改为0。如下图:

iShot2022-05-11_11.53.13.png

重新打开自动登录设置窗口,复选框又出现了,如下图:

iShot2022-05-11_11.53.35.png

背景

几年前,之前工作的部门为了方便连接到云环境私网网络,搭建了OpenVPN服务端,所有同事连接之后即可拨入私网网络进行直连访问与程序调试。某天,部门负责人联系说所有客户端均无法拨入,查看服务端日志发现如下错误信息:

Thu Apr 14 16:53:41 2022 27.115.3.186:16890 TLS Error: TLS handshake failed
Thu Apr 14 16:53:41 2022 27.115.3.186:16890 SIGUSR1[soft,tls-error] received, client-instance restarting
Thu Apr 14 16:53:41 2022 27.115.3.186:16949 TLS: Initial packet from [AF_INET]27.115.3.186:16949, sid=b5820c7e 6a773959
Thu Apr 14 16:53:41 2022 27.115.3.186:16950 TLS: Initial packet from [AF_INET]27.115.3.186:16950, sid=cfca97f5 18cff2fe
Thu Apr 14 16:53:42 2022 27.115.3.186:16893 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

原因

查看上下文,发现了报错信息中的关键点:

Thu Apr 14 16:29:58 2022 WARNING: Your certificate has expired!

于是找到OpenVPN服务端配置目录“/etc/openvpn”,使用如下命令进行证书有效期验证:

openssl x509 -noout -text -in server.crt

验证结果如下(隐去部分关键信息):


Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            3e:e4:c1:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:93
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Easy-RSA CA
        Validity
            Not Before: Apr 30 04:54:55 2019 GMT
            Not After : Apr 14 04:54:55 2022 GMT
        Subject: CN=server
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b8:36:xx:xx:xx:xx:xx:xx:xx:xx:3a:06:5e:b2:
...

可以看到,“Not After”字段明确指示了该证书的过期时间,为报障当天中午12天54分(GMT时间根据东八区加8小时)。

当时安装OpenVPN服务端时,因为计划是临时使用一段时间,所以证书的有效期仅仅设置了3年,没想到3年过去了,这个拨入途径已经成为了部门内正常开展工作的基础设施……

(P.S. 遇到问题经常是先临时解决问题,后面再想更好的方案。但用着用着,这个临时的方案就成为了常态化方案……)

处理过程

既然证书已过期,那么现在的当务之急就是需要尽快替换新证书,保障其他同事尽早恢复正常工作。

首先新建一个空文件夹,用于存放新证书相关文件。

mkdir /etc/openvpn/cert_new

当时搭建OpenVPN时,使用的是easy-rsa进行证书生成,因此将之前的easy-rsa拷贝至cert_new文件夹,

cp -r /etc/openvpn/easy-rsa /etc/openvpn/cert_new

进入新的easy-rsa文件夹,删除旧的pki文件夹。

rm -rf pki

使用“easyrsa”命令新建pki目录:

[root@xxx easy-rsa]# ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/cert_new/easy-rsa/pki

生成ca证书:

[root@xxx easy-rsa]# ./easyrsa --batch build-ca nopass

Generating RSA private key, 2048 bit long modulus
...............................................................................................................+++
...................+++
e is 65537 (0x10001)

生成服务端证书(前面的环境变量代表证书超时天数为3650天):

[root@xxx easy-rsa]# EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-server-full server nopass

Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
................+++
......+++
writing new private key to '/etc/openvpn/cert_new/easy-rsa/pki/private/server.key.c8ybv0BPWo'
-----
Using configuration from /etc/openvpn/cert_new/easy-rsa/pki/safessl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Apr 26 07:27:46 2032 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

生成客户端证书:

[root@xxx easy-rsa]# EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-client-full client nopass


Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Generating a 2048 bit RSA private key
.........+++
.............+++
writing new private key to '/etc/openvpn/cert_new/easy-rsa/pki/private/client.key.nsEQpRpArw'
-----
Using configuration from /etc/openvpn/cert_new/easy-rsa/pki/safessl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'client'
Certificate is to be certified until Apr 26 07:30:30 2032 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

生成crl.pem文件:

[root@xxx easy-rsa]# EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl

Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Using configuration from /etc/openvpn/cert_new/easy-rsa/pki/safessl-easyrsa.cnf

An updated CRL has been created.
CRL file: /etc/openvpn/cert_new/easy-rsa/pki/crl.pem

将这些文件统一复制到/etc/openvpn/cert_new目录:

cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key pki/crl.pem /etc/openvpn/cert_new

为避免权限问题,将crl.pem的所有者改为nobody:

chown nobody:nobody crl.pem

进入/etc/openvpn/cert_new目录,使用openssl命令验证证书有效性:

[root@xxx cert_new]# openssl verify -CAfile ca.crt -purpose sslserver server.crt

server.crt: OK

生成OpenVPN所需的secret文件ta.key:

 openvpn --genkey --secret ta.key

将所有需要的文件复制到/etc/openvpn

cp ca.crt ca.key crl.pem easy-rsa server.crt server.key ta.key /etc/openvpn

重启OpenVPN服务,即可使OpenVPN加载新的证书文件。

通知所有客户端重新拨号,成功拨入,问题解决。

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5