Auch dies wird zu vereinfacht, um es leichter verständlich zu machen. In diesem Beispiel wird das Serverzertifikat direkt mit dem Stamm verkettet. Nun mischen wir in Zwischenprodukte. Das PKCS-Format ist ein Cryptographic Message Syntax Standard. Das PKCS-7-Zertifikat verwendet Base64 ASCII-Codierung mit der Dateierweiterung .p7b oder .p7c. Nur Zertifikate können in diesem Format gespeichert werden, nicht private Schlüssel. Die P7B-Zertifikate sind zwischen den Anweisungen “—–BEGIN PKCS7—–” und “—–END PKCS7—–” enthalten. Wenn Sie auf einer Website ankommen, wirft Ihr Browser einen Blick auf sein SSL-Zertifikat und führt einen schnellen Prozess durch, um die Echtheit des Zertifikats zu überprüfen. Es überprüft seine Gültigkeitsdaten, stellt sicher, dass das Zertifikat nicht widerrufen wurde, und es authentifiziert die digitale Signatur des Zertifikats. Dies ist eine der besten Zertifikatsketten Erklärung, die ich je gesehen habe. Klar und verständlich.
Dies bietet auch eine bequeme Methode zum Wechseln zu einem neuen Zertifizierungsstellenzertifikat, während CRLs vom alten Zertifizierungsstellenzertifikat gültig bleiben. einfach eine neue Secrets-Engine montieren und von dort aus ausgabe. Dieser Endpunkt ruft das CA-Zertifikat in unformatierter DER-codierter Form ab. Dies ist ein bloßer Endpunkt, der keine standardmäßige Vault-Datenstruktur zurückgibt und von der Vault CLI nicht gelesen werden kann. verwenden Sie dafür /pki/cert. Wenn /pem zum Endpunkt hinzugefügt wird, wird das CA-Zertifikat im PEM-Format zurückgegeben. Die Ausgabe enthält einen dynamisch generierten privaten Schlüssel und ein Zertifikat, das der angegebenen Rolle entspricht und in 72h abläuft (wie durch unsere Rollendefinition diktiert). Die ausstellende Zertifizierungsstelle und Vertrauenskette wird ebenfalls aus Gründen der Automatisierung zurückgegeben. Ein SSL-Zertifikat ist im Wesentlichen ein X.509-Zertifikat. X.509 ist ein Standard, der die Struktur des Zertifikats definiert. Es definiert die Datenfelder, die in das SSL-Zertifikat aufgenommen werden sollen.
X.509 verwendet eine formale Sprache namens Abstract Syntax Notation One (ASN.1), um die Datenstruktur des Zertifikats auszudrücken. permitted_dns_domains (Zeichenfolge: “)) – Eine durch Kommas getrennte Zeichenfolge (oder ein Zeichenfolgenarray), die DNS-Domänen enthält, für die Zertifikate von diesem Zertifizierungsstellenzertifikat ausgestellt oder signiert werden dürfen. Beachten Sie, dass Subdomains gemäß RFC zulässig sind. PEM-Dateien verwenden ASCII-Codierung, so dass Sie sie in jedem Texteditor wie Notizblock, MS-Wort usw. öffnen können. Jedes Zertifikat in der PEM-Datei ist zwischen den —- BEGIN CERTIFICATE—- und —-END CERTIFICATE—–Anweisungen enthalten. Der private Schlüssel ist zwischen den Anweisungen —- BEGIN RSA PRIVATE KEY—– und —–END RSA PRIVATE KEY—– enthalten. Der CSR ist zwischen den Anweisungen —–BEGIN CERTIFICATE REQUEST—– und —–END CERTIFICATE REQUEST—– enthalten. Konfigurieren Sie eine Rolle, die einen Namen in Vault einer Prozedur zum Generieren eines Zertifikats zuordnet. Wenn Benutzer oder Computer Anmeldeinformationen generieren, werden sie für diese Rolle generiert: Ab Vault 0.8.1 wird diese Funktion nicht überschrieben, wenn bereits ein CA-Zertifikat/Schlüssel vorhanden ist.
Sie muss zuerst gelöscht werden. Frühere Versionen von Vault würden das vorhandene Zertifikat/den vorhandenen Schlüssel mit neuen Werten überschreiben. no_store (bool: false) – Wenn festgelegt, werden Zertifikate, die für diese Rolle ausgestellt/signiert wurden, nicht im Speicher-Backend gespeichert. Dies kann die Leistung bei der Ausstellung einer großen Anzahl von Zertifikaten verbessern. Zertifikate, die auf diese Weise ausgestellt wurden, können jedoch nicht aufgezählt oder widerrufen werden, daher wird diese Option nur für Zertifikate empfohlen, die nicht sensibel oder extrem kurzlebig sind. Diese Option impliziert einen Wert von false für generate_lease. Ein gängiges Muster besteht darin, dass eine Mount-Datei als Stammzertifizierungsstelle fungiert und diese Zertifizierungsstelle nur zum Signieren von Zwischen-CA-CSRs von anderen PKI-Secrets-Engines verwendet wird.