我最近开始使用 Vault 来存储我的 api 密钥和机密。我正在尝试将其配置为使用 ssl 证书使用 HTTPS,并且我相信我已经完成了所有步骤。
但是,当我尝试从浏览器启动该网址时,我会收到一个弹出窗口,要求选择证书。 (附图片)。我不知道这里出了什么问题。当我单击“取消”时,它工作正常并正确加载页面,但我不应该收到该弹出窗口。
我的金库配置 -
storage "file" {
path = "/vault/store/data"
}
listener "tcp" {
address = "vault.systems:8200"
tls_disable = 0
tls_cert_file = "/app/vault/cert/vault.systems.cer"
tls_key_file = "/app/vault/cert/vault.systems.key"
}
api_addr = "https://vault.systems:8200"
ui = true
我还将根证书放置在/etc/pki/ca-trust/source/anchors/
并更新了 ca-trust。
一切正常,如下是卷曲的响应 -
user@vault-server-1$ curl -XGET https://vault.systems:8200/v1/sys/health
{"initialized":true,"sealed":true,"standby":true,"performance_standby":false,"replication_performance_mode":"unknown","replication_dr_mode":"unknown","server_time_utc":1604577030,"version":"1.5.3"}
解决此问题涉及对 TCP 侦听器的配置节进行调整。对于 TCP 侦听器,Vault 包含一个名为tls_disable_client_certs https://www.vaultproject.io/docs/configuration/listener/tcp#tls_disable_client_certs它允许您切换此功能。默认情况下,该参数的值为false
Vault 将在可用时请求客户端证书。
要禁用此行为,只需更新 Vault 配置文件中的 TCP 侦听器节以包含以下行即可。
tls_disable_client_certs = "true"
以下是 Vault 配置文件中的示例。
...
listener "tcp" {
address = "0.0.0.0:8200"
tls_cert_file = "/opt/vault/tls/vault-cert.crt"
tls_key_file = "/opt/vault/tls/vault-key.key"
tls_client_ca_file = "/opt/vault/tls/vault-ca.crt"
tls_disable_client_certs = "true"
}
...
如果你想阅读更多内容,我写了一篇知识库文章 https://support.hashicorp.com/hc/en-us/articles/5714330338323-Disable-Prompt-for-Client-Certificate-When-Loading-UI详细说明如何处理此问题。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)