vault正式环境安装部署

已于 2024-07-18 14:23:11 修改
阅读量248 收藏 4
点赞数 5
文章标签: vault
于 2024-07-18 14:22:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ciqingloveless/article/details/140522259
版权

标准配置文件

ui            = true
api_addr      = "https://10.10.100.95:8200"
cluster_addr = "https://10.10.100.95:8201"

storage "raft" {
  path    = "/app/vault/data"
  node_id = "hadoop-drill-nn-1"
}

listener "tcp" {
  address = "10.10.100.95:8200"
  tls_cert_file = "/app/vault/cert/fullchain.pem"
  tls_key_file  = "/app/vault/cert/privkey.pem"
}

# 可以不要
telemetry {
  statsite_address = "10.10.100.95:8125"
  disable_hostname = true
}

生成秘钥

  1. 生成秘钥

    openssl genpkey -algorithm RSA -out privkey.pem

  2. 创建一个配置文件 (openssl.cnf):

    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req
    prompt = no

    [req_distinguished_name]
    CN = 10.10.100.95

    [v3_req]
    keyUsage = keyEncipherment, dataEncipherment
    extendedKeyUsage = serverAuth
    subjectAltName = @alt_names

    [alt_names]
    IP.1 = 10.10.100.95

  3. 生成证书签名请求 (CSR):

    openssl req -new -key privkey.pem -out cert.csr -config openssl.cnf

  4. 生成自签名证书:

    openssl x509 -req -days 365 -in cert.csr -signkey privkey.pem -out fullchain.pem -extensions v3_req -extfile openssl.cnf

启动vault

export DBUS_SESSION_BUS_ADDRESS="$XDG_RUNTIME_DIR/bus"

nohup ./vault server -config=/app/vault/conf/vault.conf > logs/vault.log &



# 使用自签名证书
./vault operator init -address=https://10.10.100.95:8200 -tls-skip-verify

保存根秘钥

Unseal Key 1: msMc9w9n7Ary3pkBGG8y4MlyHqBUcI8TliPyb/Y44UV8
Unseal Key 2: IeIBdK3+faArEM3NG7zM+esd0rFjseraw7M3VV25GEcd
Unseal Key 3: qBlgV6f5cv98J8RNyMNhGF69RnwZWAqEhoJgIkoKPCSZ
Unseal Key 4: wKR0jmC+XCzW8bdCTsuouyJL458MXQe15TgmAqu3I20w
Unseal Key 5: yrUsrBsMNyor0smRds3lTEQTEex6Qb/gEYKIv9t5UleR

Initial Root Token: hvs.PD11jxgLQDSHiNzpaSLYtvq4

export VAULT_ADDR='https://10.10.100.95:8200'
export VAULT_TOKEN='hvs.PD11jxgLQDSHiNzpaSLYtvq4'
export VAULT_TOKEN='hvs.CAESIFiEg-zI2-ZkiOBRmC-Ra8Khem8JNDkfNnI-_xIeexfoGh4KHGh2cy5xUWNqUWdndVJ4eDgzTm5kT0JsRXFlcEE'
export VAULT_SKIP_VERIFY=1

解密服务器

解密服务器必须使用三个根证书,所以以下指令需要执行三次使用上面的Unseal Key

./vault operator unseal -tls-skip-verify

验证登录

./vault login -tls-skip-verify

解决JAVA端无法调用接口问题

导出crt文件

openssl x509 -outform der -in fullchain.pem -out fullchain.crt


keytool -import -alias vault-cert -file D:/MyWorkSpace/iptvcrm/crmsecurity/src/main/resources/fullchain.crt -keystore C:/jdk-21.0.2/lib/security/cacerts  -storepass changeit

keytool -list -keystore C:/jdk-21.0.2/lib/security/cacerts -storepass changeit -alias vault-cert

编写测试令牌权限

如果没有适当的策略,首先创建一个策略文件,例如 test.hcl,内容如下:

path "secret/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

vault secrets enable -path=secret kv
vault secrets enable transit
vault secrets enable -path=transit/encrypt/ transit

vault write transit/encrypt/testvalue plaintext=$(base64 <<< "你好")
vault write transit/decrypt/testvalue ciphertext="vault:v1:6qwHKS45qLeFvnpGpwh7daC/Q9nViNfV6MMhLeY12hQPP5A="

vault policy write test test.hcl
vault token create -policy="test"

启用AppRole

./vault auth enable approle


./vault write auth/approle/role/my-role \
  	token_policies="my-policy" \
  	secret_id_ttl=60m \
  	token_ttl=20m \
  	token_max_ttl=60m

编写iptvcrm.hcl

path "secret/data/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "transit/encrypt/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "transit/decrypt/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

vault policy write iptvcrm iptvcrm.hcl

编写角色

vault write auth/approle/role/aaa-role \
  token_policies="aaa" \
  secret_id_ttl=60m \
  token_ttl=20m \
  token_max_ttl=60m

获取 Role ID 和 Secret ID

vault read auth/approle/role/aaa-role/role-id

Key        Value
---        -----
role_id    f80459fc-16db-55b5-d50c-7582e197653e

vault write -f auth/approle/role/aaa-role/secret-id

Key                   Value
---                   -----
secret_id             eff18d3c-5909-9d04-7acc-450344082925
secret_id_accessor    c6a52203-7dd3-05bd-b9b6-b118b2895706
secret_id_num_uses    0
secret_id_ttl         1h

vault write auth/approle/login role_id="f80459fc-16db-55b5-d50c-7582e197653e" secret_id="eff18d3c-5909-9d04-7acc-450344082925"
ciqingloveless
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vault部署保姆级教程
流浪法师的博客
06-27 1366
Vault部署教程,保姆级,
linux系统部署安装
huyaowei555的博客
09-01 425
linux系统部署安装 **1.****电脑分类:**台式机,笔记本,服务器 1.1服务器分类: 按外观:机架式、刀片式(性价比,空间)、塔式服务器(家庭) 按尺寸:1U 2U 4U U代表厚度,4.45cm 按性能:小型机,大型机,PC服务器(x86) **2.**服务器硬件组成: 2.1CPU: 运算/控制 路数/核数(工厂工人) ​ CPU------储存数据指令----...
Oracle LiveLabs实验:DB Security - Key Vault
In-Memory Computing Technology
05-13 820
概述 此实验关于Oracle Key Vault。 此实验申请地址在这里,时间为55分钟。 实验帮助在这里。 实验生成需要15分钟左右,最终会生成2个虚机,以下为我的专属配置: 129.146.74.138 DBSEC-LAB (数据库主机) 129.146.69.205 DBSEC-OKV (OKV服务器或OKV Console) OKV Console的地址和登录凭证: 地址:https://<DBSEC-OKV公网地址>,本例为 https://129.146.69.205
vault安装及springboot,springcloud整合vault
奋斗的小鸟专栏
05-15 6192
Hashicorp Vault Vault概述 Vault是安全访问秘密的工具。一个秘密是你想要严格控制访问的任何东西,如API密钥,密码,证书等等。Vault为任何秘密提供统一的界面,同时提供严格的访问控制和记录详细的审核日志。 Hashicorp Vault解决了管理敏感信息的问题 —— 在Vault的用语中使用“secret”。在这种情况下,“管理”意味着Vault控制敏感信息的...
nginx安装部署和配置管理
热门推荐
weixin_49453051的博客
11-01 4万+
一、HTTP 介绍 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 1、HTTP 工作原理 HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 Web服务器有:Nginx,Apache服务器,IIS服务
K8S与Vault集成,进行Secret管理
wanger5354的博客
01-11 2307
Vault 是用于处理和加密整个基础架构秘钥的中心管理服务。Vault 通过 secret 引擎管理所有的秘钥,Vault 有一套 secret 引擎可以使用。其主要有以下功能:安全密钥存储:任意的key/value Secret都可以存储到Vault中,Vault会对这些Secret进行加密并持久化存储。后端存储支持本地磁盘、cosul等;动态密钥:Vault可以动态生成Secret,在租约到期后会自动撤销它们;数据加密:Vault可以加密和解密数据,安全团队可以自定义加密参数;租赁和续订:Vault
Centos7.2上安装部署oracle11gR2数据库(命令行静默安装
yuki5233的博客
05-12 2178
目录 文章目录目录1. 机器准备2. 系统环境3. Oracle安前部署的准备工作(需要在Root用户下执行)3.1 软件安装约定3.2 配置yum源并安装oracle数据库所需依赖包3.3 检查是否有安装Oracle数据库3.4 创建管理Oracle数据库的用户和组3.5 创建oracle数据库软件安装目录、数据文件存放目录以及日志目录3.6 修改整个目录的权限为oracle:oinstall所有3.7 修改操作系统核心参数3.7.1 修改操作系统的系统标识文件 /etc/redhat-release3.
使用 VAULT 加密的 GITLAB CICD Pipeline
NewTyun的博客
05-11 1208
新钛云服已为您服务1486天本文的的核心内容是提供有关如何设置 Gitlab 和 Vault 以在 CI/CD 管道构建期间使用密钥。另外,本文将分解 JWT 授权过程,并解释 Gitlab + Vault 的流程。通过本文,读者最终可以实现自己的带有 Vault 密钥的 CI/CD 流程。目的在 Vault 上启用 JWT 身份验证方法利用 JWT 授权从 Vault ...
Centos7下安装部署Zabbix-server 5.0.1
yuki5233的博客
01-19 715
目录1. Zabbix简介2. 服务器准备2.1 主机信息+IP地址2.2 查看主机的系统版本信息2.3 关掉Selinux和配置防火墙2.3.1 关掉Selinux2.3.2 配置防火墙3. 安装Zabbix-server需要的环境(LAMP: httpd服务+数据库服务+php)3.1 LAMP介绍3.2 安装apache也就是httpd服务3.2.1 直接yum安装3.2.2 设置httpd服务开机自启动3.2.3 修改httpd服务的默认监听端口80为84803.2.4 启动httpd服务3.3
Linux环境配置到部署.docx
05-21
### Linux环境配置与SSM Web项目部署 #### 一、背景介绍 在现代软件开发过程中,尤其是基于Java的Web应用程序开发中,服务器端环境的搭建是必不可少的一个环节。本文将详细介绍如何在CentOS 7环境下从零开始配置并...
hashicorp-labs:在VM上本地部署Vault,Consul和Nomad组成的Hashicorp集群。 准备部署和测试您的应用程序
04-05
它将为Vault , Consul和Nomad部署一个群集,其中每个组件都将连接在一起,以形成一个完美的环境,用于使用服务网格测试您的应用程序。 目录 使用Vagrant安装集群 警告:目前,群集将以dev模式加载。 如果服务失败...
Java环境服务器部署基本文档
02-16
【Java环境服务器部署】 在Java应用的服务器部署中,首要任务是确保服务器上已经正确安装了Java Development Kit (JDK)。本文档介绍了在CentOS8操作系统上部署JDK的两种方式:免配版和配置版。 对于【免配版】的...
Vault实施文档.doc
02-21
Vault功能在安装NBU Server时已经安装,不需要单独安装,只需要通过License激活就可。在unix平台,vault功能需要安装单独的模块和补丁程序。安装过程中,需要选择要安装的Add-On Product,例如NetBackup Advanced ...
vault-terraform-demo:在GKE中使用Terraform部署HashiCorp Vault
02-04
我们将详细讨论“vault-terraform-demo”项目,该项目提供了在GKE环境部署Vault的示例。 首先,让我们了解HashiCorp VaultVault是一个用于安全访问、管理和控制秘密的工具,如API密钥、密码、证书和访问令牌。...
VB+ACCESS宾馆客房管理系统(系统+论文+封面).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署
自密实混凝土的研究进展.doc
08-16
自密实混凝土的研究进展.doc
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
08-16
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
基于python的人脸控制俄罗斯方块小游戏
08-16
基于python的人脸控制俄罗斯方块小游戏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值