Vault PKI
Материал из noname.com.ua
Версия от 17:40, 10 октября 2021; Sirmax (обсуждение | вклад) (→Создание корневого сертефиката (CA))
Vault PKI
Развертывание PKI на основе Vault
Установка Vault
Предполагается что Vault уже установлен и настроен
PKI
Включить PKI для корневого сертификата
vault secrets enable \ -path=pki_root_ca \ -description="PKI Root CA" \ -max-lease-ttl="262800h" \ pki
Создание корневого сертефиката (CA)
- ВАЖНО: Тип определяет будет ли показан ключ от сертификата. В случае internal ключ показа не будет и сертификат можно будет использовать только в Vault
TYPE="exported" #TYPE="internal" vault write -format=json pki_root_ca/root/generate/${TYPE} \ common_name="Root Certificate Authority for Home Network" \ country="Ukraine" \ locality="Kharkov" \ street_address="Lui Pastera St. 322, app. 131" \ postal_code="61172" \ organization="Home Network" \ ou="IT" \ ttl="262800h" > pki-root-ca.json
- В теории возможно использовать пре-созданный CA или даже цепочку - смотреть тут: https://groups.google.com/g/vault-tool/c/y4IcgiLBG4c
Результат работы команды (длинный вывод пропущен):
cat pki-root-ca.json { "request_id": "3d05280b-25db-6834-1472-abe11fb6c4ab", "lease_id": "", "lease_duration": 0, "renewable": false, "data": { "certificate": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----", "expiration": 2579950707, "issuing_ca": "-----BEGIN CERTIFICATE-----<SKIP>F72Cwqh1wTUNHHEJKMupiTIs2B\nsjCYRMVUw1A6MBY5kS8KrTizRMIZCLKjSQoVY4F8Y7lMjnw=\n-----END CERTIFICATE-----", "private_key": "-----BEGIN RSA PRIVATE KEY-----<SKIP>hwmKMhs+HI2Hs\nflcrSqLT26ccUb5bMRtXJ1pYrnjwOJnV/4GAJ5QG4aGNGdK/jIF9XbE=\n-----END RSA PRIVATE KEY-----", "private_key_type": "rsa", "serial_number": "05:55:c5:9b:20:91:66:86:96:42:84:bd:66:9a:c1:70:28:8d:bf:82" }, "warnings": null }
Корневой сертефикат самоподписаный. Поля certificate и issuing_ca полностью совпадают.