ฉันต้องการย้ายกระบวนการที่สร้างใบรับรองไคลเอ็นต์จาก root CA ที่กำหนดเองไปยัง hashicorp vault

แอปพลิเคชันจำนวนมากเชื่อถือรูทอยู่แล้ว ดังนั้นฉันจึงต้องการนำเข้า (หรือตัวกลาง) ไปยังห้องนิรภัยและส่งใบรับรองไคลเอ็นต์จากที่นั่น

บทช่วยสอนนั้นตรงไปตรงมา แต่จะแสดงวิธีสร้างใบรับรองรูทและใบรับรองกลางใหม่เสมอ

ฉันจะเริ่มต้นกลไกลับ PKI ด้วยใบรับรองรูทที่มีอยู่แล้วผ่านบรรทัดคำสั่งได้อย่างไร (เช่น ห้องนิรภัยเขียน pki/root/???) ?

คำตอบสั้น ๆ

• หากคุณมีเพียงใบรับรอง คุณก็ทำไม่ได้ คุณต้องมีคีย์ส่วนตัวด้วย
• หากคุณมีคีย์ส่วนตัว นี่คือการเรียก API เพื่อนำเข้า.

คำตอบยาว

PKI หมายถึง "โครงสร้างพื้นฐานคีย์สาธารณะ" แต่ด้วยคีย์สาธารณะนั้นมีความสำคัญทั้งหมด รหัสส่วนตัว. คีย์ส่วนตัวคือคีย์ที่ใช้เพื่อลงชื่อ (หรือสร้าง) ใบรับรองสำหรับแอปพลิเคชันของคุณ ห้องนิรภัยไม่มีส่วนเกี่ยวข้อง แต่เป็นคณิตศาสตร์เบื้องหลัง PKI ที่ต้องการ

ดังนั้น CA จึงต้องการคู่คีย์ (สาธารณะและส่วนตัว) หากไม่มีคีย์ส่วนตัว จะสร้างลายเซ็นและออกใบรับรองไม่ได้ ไม่สามารถคำนวณหาคีย์ส่วนตัวได้หากคุณมีคีย์สาธารณะเท่านั้น (แต่ให้ถามอีกครั้งในอีก 10 ปีนับจากนี้)

PKI ส่วนใหญ่ไม่อนุญาตให้ส่งออกคีย์ส่วนตัว PKI บางส่วน/ส่วนใหญ่เชื่อมต่อกับอุปกรณ์ฮาร์ดแวร์ที่ป้องกันการงัดแงะ (เรียกว่า HSM) ซึ่งออกแบบมาเพื่อป้องกันไม่ให้ไพรเวตคีย์ออกจากคอนเทนเนอร์ที่ปลอดภัย

ดังนั้นหากคุณไม่สามารถจัดการกับคีย์ส่วนตัวได้ คุณจะต้องปรับใช้ใบรับรองผู้ออกใหม่ คุณสามารถให้ใบรับรองของห้องนิรภัยลงนามโดย CA เก่าของคุณได้ การทำเช่นนี้จะทำให้เบราว์เซอร์รู้จักใบรับรองของคุณ แต่ตอนนี้คุณมี 2 CA ที่ต้องดูแล...