笔记

vault的问题

• 使用 vault login 提示 Error checking seal status: Get "https://127.0.0.1:8200/v1/sys/seal-status": http: server gave HTTP response to HTTPS client。vault login 访问的是 https的地址， export VAULT_ADDR='http://0.0.0.0:8200' ，指定VAULT_ADDR 中的地址为http即可
• 启动kv v2引擎 vault secrets enable kv-v2
• 启动vault dev 模式 sudo docker run -d --name vault -p 8888:8200 vault:1.11.4 server -dev

vault pki 相关问题

• vault 在根证书的 certificate 页面中列出的是所有的根证书和和其签发的子证书，在签发根证书的时候可以通过指定 issuer_name 来区分。在configuration 页面中可以下载的是第一次创建的根证书。
• 在中间证书的certificate 页面中只列出由中间证书签发的子证书，不包含中间证书。在 configuration 中可以下载的是第一个创建的中间证书。
• vault 在创建根证书的时候可以为根证书设定issue_name 。不同的根证书可以设定不同的issue_name。 但是在创建中间证书的时候无法为中间证书设定issue_name，通过中间证书签发证书的时候只能通过 vault list xxPath/issuers 来选择证书。建议一个路径只保存一个中间证书。
• vault pki 中创建role 的作用。role 可以设定证书的生成规则，通过issue_name 关联到上级证书。 通过配置好的role 就可以方便的签发证书
• vault pki不管理证书的私钥，所以要妥善保管证书的私钥。通过vault 生成的根证书和中间证书无法输出私钥。只有leaf 证书才会输出私钥，但是vault并不会保存私钥。需要人工保存
• vault pki 每一个路径都有一个default 的issuer。

consul总结

• gossip：1个节点和其它的所有节点
• rpc ： server client 之间，server之间

• There are two different systems that need to be configured separately to encrypt communication within the datacenter: gossip encryption and TLS. TLS is used to secure the RPC calls between agents. Gossip communication is secured with a symmetric key

nginx

• 配置https，提示 key too small ，私钥长度改为 2048 。提示 too weak，使用 sha256 生成证书