Vault私钥管理工具实践

最新推荐文章于 2024-05-14 09:40:43 发布
最新推荐文章于 2024-05-14 09:40:43 发布
阅读量190 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tsinson/article/details/134228133
版权

 一、UI界面

  1. Vault安装完成后,登录UI界面,可以管理、查看所有引擎密钥信息;
  2. UI地址为:http://1922.168.***.***:8200/ui,密码为root的token;

二、主要加解密功能

2.1 kv加解密

kv存储加密数据有2种模式,模式1没有版本概念,它总是存储最新的kv数据,模式2有版本概念。模式1没有Metadata信息,占用更少的空间;没有锁,有更好的性能。以下只介绍模式1的使用,假设vault已经安装完成。

  1. 设置VAULT_ADDR环境变量。export VAULT_ADDR=http://127.0.0.1:8200
  2. 查看vault服务是否可用。vault status
  3. 查看secret已安装kv引擎。vault secrets list -detailed
  4. 如果没有安装,安装kv引擎。vault secrets enable -path=kv kv
  5. 设置kv值。vault kv put kv/fakebank api_key=abc1234 api_secret=1a2b3c4d
  6. 使用命令行查询kv值。vault kv get kv/fakebank

    7. 使用API查询kv值。curl --header "X-Vault-Token: s.DT7jFCMaGVamWqorQjCv***"  -X GET http://192.168.***.***:8200/v1/kv/fakebank

2.2 transit 密钥加解密

2.2.1命令行使用说明

官方说明文档地址:Transit - Secrets Engines | Vault | HashiCorp DeveloperEncryption as a service: transit secrets engine | Vault | HashiCorp Developer

,假设已经使用docker部署完成vault,使用docker exec -it containerid sh进入vault容器中。执行如下步骤:

  1. 设置VAULT_ADDR环境变量,例如:export VAULT_ADDR=http://127.0.0.1:8200。
  2. 设置VAULT_TOKEN环境变量:

例如:export  VAULT_TOKEN="s.DT7jFCMaGVamWqorQjCv****"

     3. 查看secret是否已安装transit引擎

vault secrets list -detailed

     4. 开通transit引擎,启动密钥加解密功能。vault secrets enable transit

    5. 创建名称为cmr的密钥。vault write -f transit/keys/cmr,如果vault存储为file格式,那么可以在/vault/file目录下找到密钥文件。

     6. 创建密钥加解密策略。参考例子如下:

vault policy write app-cmr -<<EOF

path "transit/encrypt/cmr" {

   capabilities = [ "update" ]

}

path "transit/decrypt/cmr" {

   capabilities = [ "update" ]

}

EOF

    7. 策略固化到文件,方便后面创建类似密钥策略。例如:

vault policy read app-cmr > /test/policy/app-cmr-policy.hcl

    8. 创建密钥策略token。返回如下信息:

/vault/file # vault token create -policy=app-cmr

Key                  Value

---                  -----

token                s.qaNaUduBquSD3gF5sean3zIY

token_accessor       tydBLnJXHDKmaxdIfOFOlynW

token_duration       768h

token_renewable      true

token_policies       ["app-cmr" "default"]

identity_policies    []

policies             ["app-cmr" "default"]

    9. 使用策略token登录。例如:vault login s.qaNaUduBquSD3gF5sean****

    10. 用base64加密字符串,然后再使用vault密钥加密。例如:

vault write transit/encrypt/cmr plaintext=$(echo -n "hi cmr" | base64) 返回如下:

注意:官方文档使用的vault write transit/encrypt/my-key plaintext=$(base64 <<< "my secret data")。<<<适用于/bin/bash命令行模式,不适应于sh命令行模式。

 11.使用vault密钥解密字符串。例如:vault write transit/decrypt/cmr ciphertext="vault:v1:WqfQMViO7B08T6jRar57ZziSK6+4vGP4NANwRfhIAoRZ2A=="

    12. 用base64解密上个步骤的字符串。echo -n "aGkgY21y" | base64 -d

2.2.2 API使用说明

官方地址:Transit - Secrets Engines - HTTP API | Vault | HashiCorp Developer。假设transit引擎已经开通,并且在/transit目录下。使用步骤如下:

  1. 设置密钥参数,保存再文件中。例如:

    2. 创建密钥。例如:curl -H "X-Vault-Token: s.DT7jFCMaGVamWqorQjCv****" -X POST --data @transit-cmr-1.json  http://19168.***.***:8200/v1/transit/keys/cmr-1

或者使用vault read transit/keys/cmr-1查看:

    3. 创建密钥加解密策略。参考例子如下:

    4. 创建密钥策略token。/vault/file # vault token create -policy=app-cmr-1

    5. 使用策略token登录。例如:vault login s.1Akp4ey4VVDKEJ01YhXh9G3R

    6. 创建加密内容文件。其中plaintext的值必须为base64的值,例如:cat crypt_content.json 

    7. 使用vault密钥加密文件中的plaintext的值。例如:

curl -H "X-Vault-Token: s.1Akp4ey4VVDKEJ01YhXh9G3R" -X POST --data @crypt_content.json  http://192.168.***.***:8200/v1/transit/encrypt/cmr-1

    8. 创建解密内容文件。其中ciphertext为加密内容,例如:

    9. 使用vault密钥解密字符串。例如:

v curl -H "X-Vault-Token: s.1Akp4ey4VVDKEJ01YhXh9G3R" -X POST --data @decrypt_content.json  http://192.168.***.***:8200/v1/transit/decrypt/cmr-1

 

    10. 用base64解密上个步骤的字符串

tsinson
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vault-uiVault-UI —用React编写的用于管理Vault的漂亮UI
02-02
Vault-UI 管理Hashicorp保管库的绝妙方法 产品特点 易于部署为Web App 桌面版适用于Mac,Linux和Windows 材质UI设计 集成JSON编辑器 写在React 安装 桌面版 Vault-UI桌面可用于以下操作系统: 视窗 苹果系统 Linux(32位和64位AppImage) 从发行页面下载最新版本并安装/运行软件 网络Vault-UI可以作为组织的共享Web应用程序进行部署 Docker映像是使用的。 我们建议将版本化的图像用于生产。 要使用最新的Docker映像运行Vault-UI,请执行以下操作: docker run -d \ -p 8000:8000 \ --name vault-ui \ djenriquez/vault-ui 高级配置选项 默认情况下,必须通过单击登录页面上的配置cog来配置连接和身份验证参数。 使用环境变量(通过docker),管理员可以预先配置这些参数。 用于预配置Vault服务器URL和身份验证方法的示例命令 docker run -d \ -p 8000:8000 \ -e VAULT_URL_D
django-vault-client
05-10
Vault是由HashiCorp开发的一个安全工具,用于管理和保护敏感信息,如API密钥、密码、证书等。Django-Vault-Client使得在Django应用中集成Vault变得简单,为开发者提供了一种安全存储和访问这些关键信息的方法。 在...
在 Kubernetes 上部署 Secret 加密系统 Vault
CSDN云计算
05-20 798
作者 | 小碗汤来源 | 进击云原生HashiCorp Vault 是一个基于身份的 Secret 和加密管理系统。Secret 是您想要严格控制访问的内容,例如 API 加密密钥、密码或证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 VaultUI、CLI 或 HTTP API,可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。目前...
探索安全存储的未来:Vault-UI
最新发布
gitblog_00027的博客
05-14 333
探索安全存储的未来:Vault-UI 项目地址:https://gitcode.com/djenriquez/vault-ui 项目简介 Vault-UI 是一款优雅的 Hashicorp Vault 管理界面,它将复杂的加密操作化繁为简,提供了一种直观且美观的Web和桌面应用方式。这个项目不仅注重用户体验,还集成了先进的JSON编辑器,助您轻松处理敏感数据。 项目技术分析 Vault-UI 基...
Vault实战(一)-Vault介绍
sre救赎之路
12-20 1203
Vault 是一个基于身份的秘密和加密管理系统。秘密是您想要严格控制访问的任何内容,例如 API 加密密钥、密码和证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 VaultUI、CLI 或 HTTP API,可以安全地存储和管理、严格控制(限制)和审核对机密和其他敏感数据的访问。
vault kv创建使用方法
novice的博客
05-17 236
本文主要介绍使用approle的Authentication方式,认证secre kv,及注意事项。
Vault从入门到精通系列之四:使用python代码连接Vault服务器,存储密码、读取密码
zhengzaifeidelushang的博客
06-19 687
Vault从入门到精通系列之四:使用python代码连接Vault服务器,存储密码、读取密码
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 2169
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 3774
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Go-管理API密钥密码证件的Go工具包
08-14
在实际开发中,使用这样的工具包可以帮助开发者遵循最佳实践,减少因为处理敏感信息不当而引发的安全隐患。通过`domodwyer-cryptic-7b625e3`这个文件,我们可以获取到该工具包的源代码,深入研究其内部实现,学习...
VaultUI:Hashicorp Vault的简单UI
04-17
VaultUI 这是在处理机密的非常简单的UI 如何建造: npm install --save-dev npx webpack 生成的生成文件将在dist/ 如何在开发中运行: 使用所需的任何浏览器,我都会亲自测试最新的Microsoft Edge Dev版本。 npm install --save-dev WEBPACK_MODE=development BROWSER=google-chrome npx webpack serve
vault-signer:使用HashiCorp Vault中的运输机密引擎的Go加密签名者
04-12
HashiCorp Vault作为一个强大的安全管理工具,提供了多种功能,包括秘钥管理和加密服务。本文将深入探讨如何利用Vault的Transport Secret Engine在Go语言环境中实现加密签名,确保代码和数据的安全传输。 首先,让...
ebms-azkeyvault-export:将Azure Keyvault证书导出到本地密钥库以在ebms适配器中使用
04-08
首先,Azure Key Vault提供了一种集中化的密钥管理和证书管理解决方案,允许开发者和管理员轻松地创建、存储和控制访问这些密钥。它支持多种类型的密钥,包括RSA、EC等,并且符合FIPS 140-2标准,确保了高安全性。 ...
opr:Oracle 密码存储库
07-04
1. **Oracle Wallet**:Oracle Wallet是一种强大的安全工具,用于存储加密的凭据,如数据库连接字符串、证书、私钥等。它可以保护敏感信息,防止未经授权的访问。创建和管理Oracle Wallet需要使用Oracle的`ORACLE_...
Vault使用教程
bhwqq的博客
12-05 1252
本地开发环境启动client server ,开发环境的server 数据都保存在内存中,且交互式的内容都是没有tls协议加密的 ,请不要在生产环境运行dev环境 生产环境的数据应该都保存在磁盘或者consul里。 vault server -dev //需要记录下这个命令下的Unsealed key 和 access key 秘钥如下: Unseal Key: uDJZKpkZ0bvfPd3LnFmRLNgAQN8DNPBMeQQSMR//trk= Root Token: s.H5lx3jTkUrdOM
云原生安全-更安全的密文管理 Vault on ACK
qq_53058639的博客
02-22 303
上,Vault服务端的role模型可以与RAM role进行一对一的映射匹配,用户可以使用Vault提供的OpenAPI或是CLI,通过传入扮演RAM role返回的临时凭证调用GetCallerIdentity接口,然后Vault服务端会根据请求返回的角色arn id在其后端存储中查找是否有对应的权限策略配置,如果存在则认证成功并返回一个可用于调用Vault其他后端接口的访问token。Vault的secret引擎实现了与阿里云RAM的对接插件,帮助我们安全、动态的管理RAM凭证,其。
Vault: 基础教程之入门及使用介绍
热门推荐
博客
08-11 2万+
vault介绍 vault 是一个强大的密码管理工具,它基于命令行,是开源的。 vault是非常强大的,它具有如下特性: 1. 安全密码存储 2. 动态密码生成 3. 数据加密 4. 租期及更新 5. 废弃 下面来一步步介绍vault。 一、使用入门 首先我们使用vault server -dev开启vault的开发服务器,此服务器仅仅用于开发环境,生产环境下使用会导致不安...
Vault: 基础教程之密码引擎及动态密码生成
博客
08-11 3204
二、密码引擎 在前面看到的所有密码的写入和读出,你可能发现他们都是以secret/开头的,尝试一下不同的前缀: vault write foo/bar a=b 会得到一个错误:no handler for route 'foo/bar'。 因此,前缀代表的是vault所用的密码引擎,默认为secret/。 启动密码引擎 使用命令vault secrets enable -p...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值