Vault PKI: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) (→PKI) |
Sirmax (обсуждение | вклад) |
||
| Строка 19: | Строка 19: | ||
</PRE> |
</PRE> |
||
==Создание корневого сертефиката (CA)== |
==Создание корневого сертефиката (CA)== |
||
| + | |||
| + | * ВАЖНО: Тип определяет будет ли показан ключ от сертификата. В случае <B> internal</B> ключ показа не будет и сертификат можно будет использовать только в Vault |
||
<PRE> |
<PRE> |
||
| Строка 33: | Строка 35: | ||
ou="IT" \ |
ou="IT" \ |
||
ttl="262800h" > pki-root-ca.json |
ttl="262800h" > pki-root-ca.json |
||
| + | </PRE> |
||
| + | |||
| + | * В теории возможно использовать пре-созданный CA или даже цепочку - смотреть тут: https://groups.google.com/g/vault-tool/c/y4IcgiLBG4c |
||
| + | |||
| + | Результат работы команды (длинный вывод пропущен): |
||
| + | <PRE> |
||
| + | cat pki-root-ca.json |
||
| + | { |
||
| + | "request_id": "3d05280b-25db-6834-1472-abe11fb6c4ab", |
||
| + | "lease_id": "", |
||
| + | "lease_duration": 0, |
||
| + | "renewable": false, |
||
| + | "data": { |
||
| + | "certificate": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----", |
||
| + | "expiration": 2579950707, |
||
| + | "issuing_ca": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----", |
||
| + | "private_key": "-----BEGIN RSA PRIVATE KEY-----<SKIP>hwmKMhs+HI2Hs\nflcrSqLT26ccUb5bMRtXJ1pYrnjwOJnV/4GAJ5QG4aGNGdK/jIF9XbE=\n-----END RSA PRIVATE KEY-----", |
||
| + | "private_key_type": "rsa", |
||
| + | "serial_number": "05:55:c5:9b:20:91:66:86:96:42:84:bd:66:9a:c1:70:28:8d:bf:82" |
||
| + | }, |
||
| + | "warnings": null |
||
| + | } |
||
</PRE> |
</PRE> |
||
Версия 17:38, 10 октября 2021
Vault PKI
Развертывание PKI на основе Vault
Установка Vault
Предполагается что Vault уже установлен и настроен
PKI
Включить PKI для корневого сертификата
vault secrets enable \
-path=pki_root_ca \
-description="PKI Root CA" \
-max-lease-ttl="262800h" \
pki
Создание корневого сертефиката (CA)
- ВАЖНО: Тип определяет будет ли показан ключ от сертификата. В случае internal ключ показа не будет и сертификат можно будет использовать только в Vault
TYPE="exported"
#TYPE="internal"
vault write -format=json pki_root_ca/root/generate/${TYPE} \
common_name="Root Certificate Authority for Home Network" \
country="Ukraine" \
locality="Kharkov" \
street_address="Lui Pastera St. 322, app. 131" \
postal_code="61172" \
organization="Home Network" \
ou="IT" \
ttl="262800h" > pki-root-ca.json
- В теории возможно использовать пре-созданный CA или даже цепочку - смотреть тут: https://groups.google.com/g/vault-tool/c/y4IcgiLBG4c
Результат работы команды (длинный вывод пропущен):
cat pki-root-ca.json
{
"request_id": "3d05280b-25db-6834-1472-abe11fb6c4ab",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"certificate": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----",
"expiration": 2579950707,
"issuing_ca": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----",
"private_key": "-----BEGIN RSA PRIVATE KEY-----<SKIP>hwmKMhs+HI2Hs\nflcrSqLT26ccUb5bMRtXJ1pYrnjwOJnV/4GAJ5QG4aGNGdK/jIF9XbE=\n-----END RSA PRIVATE KEY-----",
"private_key_type": "rsa",
"serial_number": "05:55:c5:9b:20:91:66:86:96:42:84:bd:66:9a:c1:70:28:8d:bf:82"
},
"warnings": null
}
