Hashicorp Vault PKI 中間請求缺少私鑰

tag-icon tag-icon certificate pki terraform
Hashicorp Vault PKI 中間請求缺少私鑰

我嘗試設定一些 PKI 結構,但是當我從保管庫請求中間 CSR 時,沒有發回私鑰。都不在地形我嘗試在其中實現它,也不是透過API。

我試過:

  1. 應用程式介面https://www.vaultproject.io/api/secret/pki/index.html#sample-payload-2

    並取得 CSR:

    bash
curl \
    --header "X-Vault-Token: s.123456789abcdef" \
    --request POST \
    --data @example.json \
    http://vault.example.com:8200/v1/pki/intermediate/generate/internal

    並收到以下 JSON:

    {
  "request_id": "e47966f5-6783-90d6-2d46-71c54ce05749",
  "lease_id": "",
  "renewable": false,
  "lease_duration": 0,
  "data": {
    "csr": "-----BEGIN CERTIFICATE REQUEST-----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\n7S2NTf9F8CsS+alg4CEka6p/r+oNGHb1GATkKVjLiek=\n-----END CERTIFICATE REQUEST-----"
  },
  "wrap_info": null,
  "warnings": null,
  "auth": null
}

  2. 地形https://www.terraform.io/docs/providers/vault/r/pki_secret_backend_intermediate_cert_request.html

    resource "vault_pki_secret_backend_intermediate_cert_request" "pki_int_request" {
  depends_on = [ "vault_pki_secret_backend_config_ca.pki_root_config" ]

  backend = "${vault_mount.pki_root.path}"

  type = "internal"
  common_name = "example.com"
}

resource "local_file" "inter_key" {
    depends_on = [ "vault_pki_secret_backend_intermediate_cert_request.pki_int_request" ]

    content  = "${vault_pki_secret_backend_intermediate_cert_request.pki_int_request.private_key}"
    filename = "${path.module}/certs/int_ca.key"
}

我只是得到一個空文件。
顯然我錯過了一些東西,很樂意提供任何建議。

答案1

我認為Vaultproject.io 範例程式碼和「生成中間」的回應與他們自己的文件衝突。

他們的「type」參數文件表明,如果您希望它傳回私鑰,則必須指定「exported」;如果您希望 Vault 永遠保護私鑰,則必須指定「internal」。

他們的範例 API 呼叫似乎指定了“內部”,但他們的範例回應看起來像我期望的“導出”,而不是“內部”。

相關內容