HashiCorp Vault как центр сертификации (CA) / Vault PKI

Thank you for reading this post, don't forget to subscribe!

Оригинал статьи:

HashiCorp Vault как центр сер­ти­фи­ка­ции (CA) / Vault PKI

PKI (Public Key Infrastructure, инфра­струк­ту­ра откры­тых клю­чей) —  набор средств, рас­пре­де­лён­ных служб и ком­по­нен­тов, в сово­куп­но­сти исполь­зу­е­мых для под­держ­ки крип­то­за­дач на осно­ве закры­то­го и откры­то­го ключей.

Подготовка

Доуста­нав­ли­ва­ем в систе­му ути­ли­ту «jq»

Настройка PKI

Авто­ри­зу­ем­ся в Vault

Акти­ви­ру­ем PKI тип сек­ре­та для кор­не­во­го цен­тра сертификации

Созда­ем кор­не­вой цен­тра сер­ти­фи­ка­ции (CA). 262800h = 30 лет

Сохра­ня­ем кор­не­вой сер­ти­фи­кат. В даль­ней­шем имен­но его надо рас­про­стра­нять в орга­ни­за­ции и делать доверенным

Пуб­ли­ку­ем URL’ы для кор­не­во­го цен­тра сертификации

Акти­ви­ру­ем PKI тип сек­ре­та для про­ме­жу­точ­но­го цен­тра сертификации

Гене­ри­ру­ем запрос на выда­чу сер­ти­фи­ка­та для про­ме­жу­точ­но­го цен­тра сертификации

Отправ­ля­ем полу­чен­ный CSR-файл в кор­не­вой центр сер­ти­фи­ка­ции, полу­ча­ем сер­ти­фи­кат для про­ме­жу­точ­но­го цен­тра сер­ти­фи­ка­ции. 175200h = 20 лет

Пуб­ли­ку­ем под­пи­сан­ный сер­ти­фи­кат про­ме­жу­точ­но­го цен­тра сертификации

Пуб­ли­ку­ем URL’ы для про­ме­жу­точ­но­го цен­тра сертификации

Созда­ем роль, с помо­щью кото­рой будем выда­вать сер­ти­фи­ка­ты для серверов

Созда­ем роль, с помо­щью кото­рой будем выда­вать сер­ти­фи­ка­ты для клиентов

Созда­ем сер­ти­фи­кат на 5 лет для доме­на vault.example.com

Сохра­ня­ем сер­ти­фи­кат в пра­виль­ном формате

Работаем с сертификатами

Посмот­реть спи­сок сертификатов

Про­чи­тать сер­ти­фи­кат (выве­сти содержимое)

Ото­звать сертификат

Очи­стить про­сро­чен­ные / ото­зван­ные сертификаты

Bash-скрипт

Для удоб­ства раз­во­ра­чи­ва­ния PKI под­го­то­вил bash-скрипт

vault-pki-main