хранилище hashicorp -загрузить предварительно-существующий сертификат ЦС в механизм PKI
. Я хочу перенести процесс, который генерирует клиентские сертификаты из пользовательского корневого центра сертификации, в хранилище hashicorp.
Корневому каталогу уже доверяют многие приложения, поэтому я хотел бы импортировать его (или промежуточный компонент)в хранилище и выпустить оттуда клиентские сертификаты.
Учебники просты, но всегда показывают, как создать новый корневой и промежуточный сертификаты.
Как я могу инициализировать механизм секретов PKI с предварительно-существующим корневым сертификатом через командную-строку (, например.vault write pki/root/???)?
Краткий ответ
- Если у вас есть только сертификат, вы просто не сможете. Вам также нужен закрытый ключ.
- Если у вас есть закрытый ключ, вот вызов API для его импорта .
Подробный ответ
PKI означает «инфраструктура открытого ключа», но вместе с этим открытым ключом поставляется все важный закрытый ключ . Закрытый ключ — это ключ, используемый для подписи (или создания)сертификатов для ваших приложений. Vault не имеет к этому никакого отношения, это математика, стоящая за PKI, которая требует этого.
Итак, центру сертификации нужна пара ключей (открытый и закрытый). Без закрытого ключа будет невозможно сгенерировать подпись и выдать сертификат. Вычислительно невозможно найти закрытый ключ, если у вас есть только открытый ключ (, но запросите его снова через 10 лет).
Большинство PKI не позволяют экспортировать закрытый ключ. Некоторые/большинство PKI подключены к защищенному от несанкционированного доступа аппаратному устройству (, называемому HSM), предназначенному для предотвращения выхода закрытого ключа из своего защищенного контейнера.
Поэтому, если вы не сможете получить закрытый ключ, вам придется развернуть новый сертификат эмитента. Вы можете получить сертификат Vault, подписанный вашим старым ЦС. Это сделает ваши сертификаты распознаваемыми браузерами, но теперь вам нужно поддерживать 2 ЦС...