【问题标题】:Vault with TLS - bad certificate error带有 TLS 的保管库 - 证书错误错误
【发布时间】:2018-12-17 08:48:12
【问题描述】:

我正在尝试通过 TLS 连接到保管库并收到以下错误:

2017/12/21 15:11:55 http: TLS handshake error from 127.0.0.1:62734: remote error: tls: bad certificate

从命令库初始化:

Error initializing Vault: Put https://127.0.0.1:8200/v1/sys/init: x509: cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs

我已经创建了这样的证书:

openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl genrsa -out serverCertificate.key 2048
openssl req -new -key serverCertificate.key -out serverCertificate.csr
openssl x509 -req -in serverCertificate.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out serverCertificate.crt -days 500

在创建证书期间,我没有指定任何 COMMON_NAME。

这是我的保险柜配置文件:

{
  "disable_mlock": true,
  "backend": {
     "file":{
       "path": "./secrets"
    }
  },
  "listener": {
    "tcp": {
      "address":"127.0.0.1:8200",
      "tls_disable": "false",
      "tls_cert_file":"./serverCertificate.crt",
      "tls_key_file":"./serverCertificate.key"
     }
  }
}

值得注意的是,我在 Mac 上工作。

请指教,我做错了什么?

【问题讨论】:

    标签: ssl


    【解决方案1】:

    当您生成证书时,您需要为其提供一些额外的 127.0.0.1 SAN,因为您尝试通过 127.0.0.1 与 Vault 通信。它拒绝您使用的证书,因为请求正在通过 127.0.0.1 进行通信,并且证书未配置该 IP。

    本指南似乎对如何使用 openssl 进行了不错的概述:https://gist.github.com/jchandra74/36d5f8d0e11960dd8f80260801109ab0#creating-your-self-signed-certificate-with-subject-alternative-name-san

    请注意,您可能需要使用配置文件,因为某些选项无法通过 CLI 传递给 openssl。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-07-08
      • 1970-01-01
      • 2020-01-30
      • 2022-09-26
      • 1970-01-01
      • 2021-12-12
      • 2017-01-05
      • 2016-03-19
      相关资源
      最近更新 更多