Caut să migrez un proces care generează certificate de client de la un CA rădăcină personalizat în seif hashicorp.

Rădăcina este deja de încredere de o mulțime de aplicații, așa că aș dori să o import (sau un intermediar) în seif și să emit certificatele client de acolo.

Tutorialele sunt simple, dar arată întotdeauna cum să generați un nou certificat rădăcină și intermediar.

Cum pot inițializa un motor de secrete PKI cu un certificat rădăcină preexistent prin linia de comandă (de ex. seif scrie pki/root/???) ?

Răspuns scurt

• Dacă tot ce ai este certificatul, pur și simplu nu poți. Aveți nevoie și de cheia privată.
• Dacă aveți cheia privată, aici este apelul API pentru a-l importa.

Raspuns lung

PKI înseamnă „infrastructură cu cheie publică”, dar cu acea cheie publică vine tot ce este important cheie privată. Cheia privată este cheia folosită pentru a semna (sau genera) certificatele pentru aplicațiile dvs. Vault nu are nimic de-a face cu asta, este matematica din spatele PKI-ului care o cere.

Deci CA are nevoie de o pereche de chei (publică și privată). Fără cheia privată, va fi imposibilă generarea semnăturii și emiterea unui certificat. Este imposibil din punct de vedere computațional să găsiți cheia privată dacă aveți doar cheia publică (dar întrebați din nou peste 10 ani de acum încolo).

Majoritatea PKI nu permit exportarea cheii lor private. Unele/Majoritatea PKI sunt conectate la un dispozitiv hardware invizibil (numit HSM) conceput pentru a preveni ca cheia privată să părăsească vreodată containerul securizat.

Deci, dacă nu puteți pune mâna pe cheia privată, va trebui să implementați un nou certificat de emitent. Puteți avea certificatul Vault semnat de vechiul dvs. CA. Procedând astfel, certificatele dvs. vor fi recunoscute de browsere, dar acum aveți 2 CA de menținut...