使用vault 进行pki 管理是很方便的,以前测试的都是由根证书进行证书签发,这次使用中间ca 进行签发
所以会有一个证书连
测试使用docker-compose 运行
环境准备
- docker-compose 文件
version: "3"
services:
vault:
image: vault
environment:
- "VAULT_DEV_ROOT_TOKEN_ID=myroot"
ports:
- "8200:8200"
启动vault 环境
- 启动
docker-compose up -d
- 访问
http://localhost:8200 使用tokenidmyroot
生成中间ca
- 添加pki secret engine
- 配置root ca
效果 - 配置crl && issue api 地址
- 添加中间ca secret
中间ca 是独立的一个pki secret ,只是需要与root ca 配置关联
- 生成中间ca
同理也需要配置crl 以及issus 的api 地址
生成的证书请求文件,需要root ca 进行签名
- 进行中间ca 签名(使用root ca)
- 中间ca 配置中间ca 签名
- 查看证书连
可以直接下载上边生成的 - 中间ca 创建role 进行证书签发
- 请求生成一个证书
效果
说明
以上生成的root ca 需要添加到系统可信根证书中,不然还是会有提示不可信,以上只是一个简单的试用,实际上vault 的功能还是
很强大的。
参考资料
https://www.vaultproject.io/docs/secrets/pki/index.html
https://github.com/rongfengliang/vault-pki-docker-compose