使用Vault搭建企业PKI系统

最新推荐文章于 2024-05-22 09:31:47 发布
最新推荐文章于 2024-05-22 09:31:47 发布
阅读量6k 收藏 7
点赞数 3
文章标签: PKI

静态的数据加密和传输中的数据加密,对于数据安全来说同等重要。目前最流行的用于传输中数据加密的方式就是 SSL/TLS。 对于大多数企业内部网络管理员,如果不是非用不可,一般都不会主动使用SSL/TLS,没有一个方便高效和安全的创建CA,签发证书的解决方案。

Hashicorp公司的Vault工具出现,将秘钥管理提升到了一个新水平,其中的PKI后端可以方便的帮助企业搭建一套私有的PKI体系。Vault的使用文档从功能的角度对pki后端做了详细介绍,我在此将提供一个搭建企业自建PKI的完成过程。

这篇介绍将包括以下几个部分:

1. 启动vault服务

2. 为企业创建一个根CA

3. 为企业创建一个中间CA

4. 为一个web服务颁发TLS秘钥和证书 

5. 使用NGINX测试签发的证书

需要澄清的是这篇介绍只是一个对于概念完整介绍,并不是一个最好的实践方案,在此的目的是介绍pki后端的功能。 真实实践时,Vault需要配置为HA模式,由TLS保护,不使用root token和策略,与CA和证书关联的有效期也应谨慎的根据真实的应用情况而定。

Vault作为企业内部自建CA最方便的一点就是,应用可以随时请求证书和秘钥。这就意味着可以通过基本的cron任务来更新证书,因此证书的有效期可以尽可能的短(这部分内容我会在我的另一篇博客中介绍)。但这部分功能也是Vault与我们之前习惯使用的EasyRSA或者是CFSSL的区别所在,它改变了我们管理TLS的方式。


启动 Vault

下载Vault后,创建一个目录存储相关加密数据和配置等。接下来创建一个配置文件,并启动服务: 

$ mkdir vault && cd vault
$ vi vault.hcl
disable_mlock  = true

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = 1
}

backend "file" {
  path = "/home/benr/vault/secrets"
}
$ vault server -config=vault.hcl
==> Vault server configuration:

                 Backend: file
              Listener 1: tcp (addr: "0.0.0.0:8200", tls: "disabled")
               Log Level: info
                   Mlock: supported: true, enabled: false
                 Version: Vault v0.6.0

==> Vault server started! Log data will stream in below:
在另一个终端中初始化并解封Vault: 

$ export VAULT_ADDR='http://127.0.0.1:8200'
$ vault init
Unseal Key 1: 811538b33c90d6f558b0296e12dc0023fc4086f5cbc424a2a3766d52dd52d7cf01
Unseal Key 2: 3eb6e073249168bdef779cf0e47f5c02baf7a2260e3d531073ae40862916029302
Unseal Key 3: b99b0b9a16f2f88ab83f87ddab4e6f483b15f288889bc9d1b9b2d154ad14ac8f03
Unseal Key 4: c24260a579914e78f78123b7a83fc96ebd16434980fc5a003f24bd5e2ecf7fa804
Unseal Key 5: 456f8b4c4bf2de4fa0c9389ae70efa243cf413e7065ac0c1f5382c8caacdd1b405
Initial Root Token: d194e2e3-6483-aa23-9bf2-f1bb31b0edbb
...

$ vault unseal 811538b33c90d6f558b0296e12dc0023fc4086f5cbc424a2a3766d52dd52d7cf01
$ vault unseal 3eb6e073249168bdef779cf0e47f5c02baf7a2260e3d531073ae40862916029302
$ vault unseal b99b0b9a16f2f88ab83f87ddab4e6f483b15f288889bc9d1b9b2d154ad14ac8f03
Sealed: false
Key Shares: 5
Key Threshold: 3
Unseal Progress: 0
$ vault auth
Token (will be hidden): d194e2e3-6483-aa23-9bf2-f1bb31b0edbb
Successfully authenticated! You are now logged in.
token: d194e2e3-6483-aa23-9bf2-f1bb31b0edbb
token_duration: 0
token_policies: [root]
好了!到了这一步Vault已经启动并解封,可以使用了。


创建一个根CA

在Vault中,秘密信息是通过"backend"(后端)管理的,在使用之前必须被挂载。这在刚开始使用Vault时看起来非常奇怪,但这确实是合理的设计,后端可以多次挂载在不同的路径下。这个特性在我们搭建PKI时十分重要,因为Vault的一个pki后端只能代表一个CA,因此我们需要挂载两个pki后端,一个作为根CA,一个作为中间CA。这个特性使一个Vault服务可以支持多个CA,它们之间又彼此独立。

因此,我们先挂载一个pki后端,作为根CA,路径为“cuddltech”。我们在挂载时需要提供路径("path",用于访问这个特定后端的路径),描述("description"),最长有效期("maximum lease TTL"):

$ vault mount -path=cuddletech -description="Cuddletech Root CA" -max-lease-ttl=87600h pki
Successfully mounted 'pki' at 'cuddletech'!
$ vault mounts
Path         Type       Default TTL  Max TTL    Description
cubbyhole/   cubbyhole  n/a          n/a        per-token private secret storage
cuddletech/  pki        system       315360000  Cuddletech Root CA
secret/      generic    system       system     generic secret storage
sys/         system     n/a          n/a        system endpoints used for control, policy and debugging
现在我们就可以创建我们的根CA证书和秘钥了: 

$ vault write cuddletech/root/generate/internal \
> common_name="Cuddletech Root CA" \
> ttl=87600h \
> key_bits=4096 \
> exclude_cn_from_sans=true
Key             Value
---             -----
certificate     -----BEGIN CERTIFICATE-----
MIIFKzCCAxOgAwIBAgIUDXiI3GDzP2IbQ9IatFSCv9Pq/lgwDQYJKoZIhvcNAQEL
BQAwHTEbMBkGA1UEAxMSQ3VkZGxldGVjaCBSb290IENBMB4XDTE2MDcwOTA4MTIz
..
axscmLdVE2HTB87W1H77iKKN8n9Xne//LUidxVX0Kg==
-----END CERTIFICATE-----
expiration      1783411981
issuing_ca      -----BEGIN CERTIFICATE-----
MIIFKzCCAxOgAwIBAgIUDXiI3GDzP2IbQ9IatFSCv9Pq/lgwDQYJKoZIhvcNAQEL
BQAwHTEbMBkGA1UEAxMSQ3VkZGxldGVjaCBSb290IENBMB4XDTE2MDcwOTA4MTIz
...
axscmLdVE2HTB87W1H77iKKN8n9Xne//LUidxVX0Kg==
-----END CERTIFICATE-----
serial_number   0d:78:88:dc:60:f3:3f:62:1b:43:d2:1a:b4:54:82:bf:d3:ea:fe:58
最后需要做的就是配置URL用于获取CA证书和CRL: 

$ vault write cuddletech/config/urls issuing_certificates="http://10.0.0.22:8200/v1/cuddletech
Success! Data written to: cuddletech/config/urls
到此,根CA就已经准备好了,接下来需要生成中间CA。


创建一个中间CA

创建中间CA的过程和创建根CA的过程类似,最大的不同是不能用一步一次生成证书和私钥。我们需要再挂载一个pki后端,在此先生成CSR和私钥,然后将CSR给根CA所在后端签名,将得到的证书导入后创建的pki后端作为中间CA的证书。

说起来有点绕,看步骤就清晰明了了。首先为中间CA再挂载一个pki后端,将它命名为Ops 中间CA:

$ vault mount -path=cuddletech_ops -description="Cuddletech Ops Intermediate CA" -max-lease-ttl=26280h pki
Successfully mounted 'pki' at 'cuddletech_ops'!

$ vault mounts
Path             Type       Default TTL  Max TTL    Description
cubbyhole/       cubbyhole  n/a          n/a        per-token private secret storage
cuddletech/      pki        system       315360000  Cuddletech Root CA
cuddletech_ops/  pki        system       94608000   Cuddletech Ops Intermediate CA
下一步生成一个中签CA的CSR: 

$ vault write cuddletech_ops/intermediate/generate/internal \
>  common_name="Cuddletech Operations Intermediate CA"
>  ttl=26280h \
>  key_bits=4096 \
>  exclude_cn_from_sans=true
Key     Value
---     -----
csr     -----BEGIN CERTIFICATE REQUEST-----
MIICuDCCAaACAQAwMDEuMCwGA1UEAxMlQ3VkZGxldGVjaCBPcGVyYXRpb25zIElu
dGVybWVkaWF0ZSBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALt8
...
hD8cpHTXqjKExYWKc/rQDgjw9+RNDdb45xszDagrgFgNPqI9i0fNh9jViMmjUiTc
PQTZS4XxIoRrx1/xVHJ4Qm++ntLPVCvzjMZafg==
-----END CERTIFICATE REQUEST-----
复制CSR的值到一个新建的文件: cuddletech_ops.csr 这样做的原因是下一步需要将它作为参数传给根CA所在后端进行签名。 

$ vault write cuddletech/root/sign-intermediate \
>  csr=@cuddletech_ops.csr \
>  common_name="Cuddletech Ops Intermediate CA" \
>  ttl=8760h
Key             Value
---             -----
certificate     -----BEGIN CERTIFICATE-----
MIIEZDCCAkygAwIBAgIUHuIhRF3tYtfoZiAFdjcCtQpMR+cwDQYJKoZIhvcNAQEL
BQAwHTEbMBkGA1UEAxMSQ3VkZGxldGVjaCBSb290IENBMB4XDTE2MDcwOTA4Mjkz
...
UtI2b/AamAqf340eRKmSdEh4WypB4JR+t259YA45w2j4mS+rxREycEk4YosR/vUs
jekMiq57yNq7h8eOTrnOulJxazbVrYGb
-----END CERTIFICATE-----
expiration      1470645002
issuing_ca      -----BEGIN CERTIFICATE-----
MIIFKzCCAxOgAwIBAgIUDXiI3GDzP2IbQ9IatFSCv9Pq/lgwDQYJKoZIhvcNAQEL
BQAwHTEbMBkGA1UEAxMSQ3VkZGxldGVjaCBSb290IENBMB4XDTE2MDcwOTA4MTIz
..
1FRGlwHUg+6IIZBVIapzivLc6pAvLFPxQlQvT5CNHPk91zwyNQ9ZX2PzatdajUnd
axscmLdVE2HTB87W1H77iKKN8n9Xne//LUidxVX0Kg==
-----END CERTIFICATE-----
serial_number   1e:e2:21:44:5d:ed:62:d7:e8:66:20:05:76:37:02:b5:0a:4c:47:e7
现在我们就有了一个已经被根CA签名过了证书了,我们将证书内从复制粘贴到一个新建文件: cuddletech_ops.crt 我们将它导入中间CA的后端: 

$ vault write cuddletech_ops/intermediate/set-signed \
> certificate=@cuddletech_ops.crt
Success! Data written to: cuddletech_ops/intermediate/set-signed
我们来验证一下: 

$ curl -s http://localhost:8200/v1/cuddletech_ops/ca/pem | openssl x509 -text | head -20
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            76:12:53:41:be:18:98:2c:a1:51:4a:f8:f0:bd:b4:a3:44:7e:74:59
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Cuddletech Root CA
        Validity
            Not Before: Jul  9 09:23:39 2016 GMT
            Not After : Jul  9 09:24:09 2017 GMT
        Subject: CN=Cuddletech Ops Intermediate CA
 ...
最后要做的就是配置获取CA和CRL的url: 

$ vault write cuddletech_ops/config/urls \
> issuing_certificates="http://10.0.0.22:8200/v1/cuddletech_ops/ca" \
> crl_distribution_points="http://10.0.0.22:8200/v1/cuddletech_ops/crl"
Success! Data written to: cuddletech_ops/config/urls

为一个Web服务申请一个证书

到这里为止,我们的CA就配置好了,接下来看看如何颁发证书。颁发证书需要两个步骤,第一步是创建一个角色,定义和限制生成证书的一些参数,例如秘钥类型和秘钥长度,证书类型等等。第二步就是颁发一个该角色的证书。

在中间CA后端中创建一个名为“web_server”类型的角色,该角色可生成的秘钥长度为2048 bits,最长有效期为1年,允许任意CN。

$ vault write cuddletech_ops/roles/web_server \
> key_bits=2048 \
> max_ttl=8760h \
> allow_any_name=true
Success! Data written to: cuddletech_ops/roles/web_server
接下来就可以使用这个角色去颁发证书了。 

$ vault write cuddletech_ops/issue/web_server \
> common_name="ssl_test.cuddletech.com" \
> ip_sans="172.17.0.2" \
> ttl=720h
> format=pem
Key                     Value
---                     -----
lease_id                cuddletech_ops/issue/web_server/e03318f2-d005-8196-4ed5-a42f9cd55238
lease_duration          2591999
lease_renewable         false
certificate             -----BEGIN CERTIFICATE-----
MIIE7jCCAtagAwIBAgIUN+vXFuIf42v1SW+mDROUVAm+lUMwDQYJKoZIhvcNAQEL
BQAwKTEnMCUGA1UEAxMeQ3VkZGxldGVjaCBPcHMgSW50ZXJtZWRpYXRlIENBMB4X
DTE2MDcwOTA5MzE1N1oXDTE2MDgwODA5MzIyN1owIjEgMB4GA1UEAwwXc3NsX3Rl
...
issuing_ca              -----BEGIN CERTIFICATE-----
MIIF5DCCA8ygAwIBAgIUdhJTQb4YmCyhUUr48L20o0R+dFkwDQYJKoZIhvcNAQEL
...
private_key             -----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEApBabDpPZIloRQUpro3tQEls0FEFvsvfraQzQJLD2dicSPZ2s
CqYyT8OXMclrapG7KKTYp79AaTW8LgNg3WvCzoMGDfhLL9m0QomzrMDzoW8Q7iQO
1MV4f6JXjGMbOMMXatKQlO32fLZln8m+/yJ3pOW0S6uatFzZ/N3+ed+gDuUc7eAO
...
private_key_type        rsa
serial_number           37:eb:d7:16:e2:1f:e3:6b:f5:49:6f:a6:0d:13:94:54:09:be:95:43
我们需要将证书(certificate)和签发CA证书也就是中间CA的证书(issuing_ca)一起写入新建文件 ssl_test.cuddletech.com.crt文件中(颁发的证书在前,CA证书在后),将私钥(private_key)写入文件 ssl_test.cuddletech.com.key 中。

接下来可以配置NGINX了!


在NGINX中测试证书

将上一步得到的 ssl_test.cuddletech.com.crt证书文件路径写入NGINX配置文件,然后启动。 
server {
    listen              443 ssl;
    server_name         ssl_test.cuddletech.com;
    ssl_certificate     ssl_test.cuddletech.com.crt;
    ssl_certificate_key ssl_test.cuddletech.com.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;


    location / {
      root   /usr/share/nginx/html;
      index  index.html index.htm;
    }
}
在NGINX启动后,用浏览器访问,这时你会看到熟悉的“Your connection is not secure”的警告,我们需要导出根CA的证书,并添加到浏览器的受信证书列表里。导出根CA证书: 
$ curl -s http://localhost:8200/v1/cuddletech/ca/pem > cuddletech_ca.pem
当你将根CA导入浏览器受信列表里后,你就会体会到使用Vault来颁发内部TLS证书是如此好用,好用到飞起来:)






T0mato_
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Vault 使用PKI后端作为CA
cyberspecter的专栏
10-23 804
Vault使用 PKI 后端作为CA下载并运行 Vault:创建PKI后端生成根证书为CA配置CRLs:创建角色发出crt和私钥参考: 我将展示如何在pki框架内运行自己的CA,并能够生成私钥和签名证书。我们将使用Vault进行此操作 ,因为这是完成它的最快方法。 下载并运行 Vault: 请确保从 https://www.vaultproject.io/downloads.html获取它,或者您...
基于Spring WebFlux和Vault PKI的SSL
JavaMonsterr的博客
06-29 328
在本文中,我们将学习如何配置Vault PKI引擎并将其与Spring WebFlux集成。使用Vault PKI,您可以轻松生成由CA签名的X.509证书。然后,您的应用程序可以通过REST API获得证书。它的TTL相对较短。每个应用程序实例都是唯一的。此外,我们还可以使用SpringVault模板简化与Vault API的集成。让我们再多说一点关于安全库的事。它允许您使用UI、CLI或HTTP API保护、存储和控制对令牌、密码、证书和加密密钥的访问。这是一个非常强大的工具。使用Vault,而不是传统
hashistack-pkiVault PKI的完整介绍
02-06
hashistack-pkiVault PKI的完整介绍
Vault配置中心产品调研实施方案
代码基地
03-17 1192
Hashicorp Vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能,解决了管理机密数据的问题。Vault提供了对数据库账号密码、外部服务的API秘钥、证书、通信凭证等机密数据的安全存储(key/value)和控制。它能处理key的续租、撤销、审计等功能。通过API访问可以获取到加密保存的密码、ssh key、X.509的certs等。身份验证:数据的访问都有严格的访问控制。加密存储。
探索强大而灵活的开源PKI系统:XiPKI
最新发布
gitblog_00040的博客
05-22 287
探索强大而灵活的开源PKI系统:XiPKI 项目地址:https://gitcode.com/xipki/xipki XiPKI,一个高度可扩展和高性能的开放源代码PKI(证书颁发机构和在线证书状态协议响应者),是你在公共密钥基础设施领域寻找解决方案的理想选择。这款软件以其强大的功能、广泛的平台支持和优秀的性能脱颖而出。 项目介绍 XiPKI是一个基于Apache 2许可的项目,其目标是构建一个易...
vault-pki:用于从节点中的 Hashicorp Vault 获取证书的工具
05-29
金库-PKI 用于从保管库存储获取证书的节点模块。 提供一个可以使用以下配置对象初始化的类: { address , token , mountpoint , tls : { skipVerify , caPath , caCert , } , } 结果实例提供了三种方法: issue(role, cn, ttl, additionalOptions) - 颁发证书。 issueAndRenew(role, cn, ttl, additionalOptions, onUpdate) - 颁发证书,并在每个令牌达到其生命周期的 90% 时自动更新。 每次更新后都会调用 onUpdate。 list - 列出存储中的所有证书。 返回的证书对象具有以下属性: { expiresIn , type , serial ,
使​​用Hashicorp Vault管理PKI并颁发证书
andychuen的专栏
11-06 2231
                                                                  使用vault搭建CA,即PKI Vault是一个加密的键值存储,旨在解决当今组织面临的许多挑战,无论是小型创业公司还是企业,它们都面临一些基本问题,其中一个是“秘密蔓延”,其中意味着100个凭证只是漫游,由几十个不同的人生成。这是由于缺乏证书的集中化; 组织没有所...
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 2169
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
【数字证书】在腾讯云轻量应用服务器上使用EJBCA搭建自己的CA/PKI系统
Signaliks的博客
09-14 855
本文原载于 https://www.idc.moe/archives/qcloud-Lighthouse-EJBCA-build.html 一、名词解释和综述 1.1. PKI PKI (Public Key Infrastructure) 公钥基础设施,又称为公钥基础架构、公钥基础建设或公钥基础机构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说 PKI 就是利用公钥理论和技术建立的提供的安全服务设施,其目的在
kubernetes-vault使用保管库存储Kubernetes的机密!
02-03
Kubernetes-Vault项目允许吊舱使用Vault的自动接收Vault令牌。 强调 默认为安全。 Kubernetes-Vault控制器不允许使用根令牌对Vault进行身份验证。 Prometheus指标通过http或https终结点,并带有可选的TLS客户端身份...
Vault实施文档.doc
02-21
Vault系统由多个组件组成,包括Vault Server、Vault Client、Vault Media Server等。Vault Server是整个系统的核心,负责管理备份和恢复过程。Vault Client是客户端软件,负责与Vault Server通信,实现备份和恢复...
邮袋:使用Vault和AppRole身份验证方法来配置机密的工具
02-04
邮袋项目 邮袋和朋友是一组工具,用于根据的身份验证方法管理主机上的机密设置。 此项目正在开发中,其命令和配置可能有所更改 ...是一个守护程序,可以使用带有包装的机密ID的AppRole身份验证方法登录Vault
pki开源c代码
12-25
公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点.
PKI证书签发系统(web版)
qq_43746757的博客
01-11 1362
PKI证书签发系统(web版)
linux搭建HTTPS静态web
我了解豹女就像农民伯伯了解大米
06-21 485
<Directory /www> AllowOverride none Require all granted </Directory> <VirtualHost 172.52.16.30:443> DocumentRoot /www/443 ServerName www.zbt.com SSLEngine on SSLProtocol all -SSLv2 .
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 3774
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Vault从入门到精通系列之二:启动Vault服务器
zhengzaifeidelushang的博客
06-19 1661
Vault 作为客户端-服务器应用程序运行。Vault 服务器是唯一与数据存储和后端交互的 Vault 架构。通过 Vault CLI 完成的所有操作都通过 TLS 连接与服务器交互。在本篇博客中,启动以开发模式运行的 Vault 服务器并与之交互。
windows服务器——部署PKI与证书服务
yj11290301的博客
06-23 2482
本章将会讲解Windows服务器——部署PKI与证书服务证书。
PKI系列:(7)部署自己企业内部的PKI架构【基于域环境,通过组策略自动注册证书】
网络之路Blog(其他平台同名)
03-05 1023
说明 无论我们在做dot1x或者SSL VPN的时候,都需要申请个人证书,对于企业内部来说,可以构建企业级CA,配合域的组策略,可以实现自动信任根、自动申请证书、计算机证书。这样一来,无疑是减轻了在部署时候的工作量,也有非常好的扩展性。 1、微软企业级证书创建后,所有加域的客户端都会自动信任这个证书机构,因为它会隐含通过组策略把根证书下放下去。 2、如果是合作伙伴的CA服务器证书,那么可以通过组策略自动让内部的客户端信任这个CA服务器。 3、计算机证书一般不需要申请,除非在做机器认证和给radius服务

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值