Tôi đang tìm cách di chuyển quy trình tạo chứng chỉ ứng dụng khách từ CA gốc tùy chỉnh sang kho lưu trữ hashicorp.

Thư mục gốc đã được rất nhiều ứng dụng tin cậy, vì vậy tôi muốn nhập nó (hoặc một ứng dụng trung gian) vào vault và gửi chứng chỉ ứng dụng khách từ đó.

Các hướng dẫn rất đơn giản nhưng luôn chỉ ra cách tạo chứng chỉ gốc và chứng chỉ trung gian mới.

Làm cách nào tôi có thể khởi tạo công cụ bí mật PKI với chứng chỉ gốc có sẵn thông qua dòng lệnh (ví dụ: vault viết pki/root/???) ?

Câu trả lời ngắn

• Nếu tất cả những gì bạn có là chứng chỉ, đơn giản là bạn không thể. Bạn cũng cần khóa riêng.
• Nếu bạn có khóa riêng, đây là lệnh gọi API để nhập nó.

Câu trả lời dài

PKI có nghĩa là "cơ sở hạ tầng khóa công khai", nhưng cùng với khóa công khai đó là điều quan trọng nhất khóa riêng. Khóa riêng là khóa được sử dụng để ký (hoặc tạo) chứng chỉ cho các ứng dụng của bạn. Vault không liên quan gì đến nó, đó là toán học đằng sau PKI yêu cầu nó.

Vì vậy, CA cần một cặp khóa (công khai và riêng tư). Nếu không có khóa riêng, sẽ không thể tạo chữ ký và cấp chứng chỉ. Về mặt tính toán, không thể tìm thấy khóa riêng nếu bạn chỉ có khóa chung (nhưng hãy hỏi lại sau 10 năm kể từ bây giờ).

Hầu hết PKI không cho phép xuất khóa riêng của họ. Một số/Hầu hết PKI được nối với một thiết bị phần cứng chống giả mạo (được gọi là HSM) được thiết kế để ngăn khóa riêng rời khỏi vùng chứa an toàn của nó.

Vì vậy, trừ khi bạn có thể có được khóa riêng tư, bạn sẽ phải triển khai chứng chỉ nhà phát hành mới. Bạn có thể có chứng chỉ của Vault do CA cũ của bạn ký. Làm như vậy sẽ làm cho chứng chỉ của bạn được các trình duyệt nhận ra, nhưng bây giờ bạn có 2 CA để duy trì...