金库WebUI证书

Question

我刚刚构建了一个正确工作的保险库服务器，但是在webui上的每个连接上，我被要求验证一个证书：

你知道我为什么会有这个消息吗？有可能绕过这个问题吗？

有关信息，我使用通配符证书*.mydomain.com。

诚挚的问候,

M.

Answer 1

默认情况下，金库支持共同TLS。金库要求您出示自己的证书以进行身份验证，如果没有提供客户端证书，则继续使用其他身份验证方法。

您可以通过在服务器配置中设置tls_disable_client_certs = false，在tcp节(需要重新启动)下关闭它。

您可以通过@Zam找到这篇基于知识的文章中的更多细节。

Answer 2

解决此问题需要对TCP侦听器的配置节进行调整。对于TCP侦听器，Vault包含一个名为证书的参数，该参数允许您切换此功能。默认情况下，该参数的值为false，当可用时，Vault将请求客户端证书。

若要禁用此行为，只需更新Vault配置文件中的TCP侦听器节，以包含以下行。

tls_disable_client_certs = "true"

下面是一个示例，说明如何在Vault配置文件中这样做。

...  
listener "tcp" {  
  address = "0.0.0.0:8200"  
  tls_cert_file = "/opt/vault/tls/vault-cert.crt"  
  tls_key_file = "/opt/vault/tls/vault-key.key"  
  tls_client_ca_file = "/opt/vault/tls/vault-ca.crt"  
  tls_disable_client_certs = "true"  
}  
...

如果您想阅读更多内容，我编写了一个知识库文章，详细说明了如何处理这个问题。

Answer 3

谢谢你的回答。

通过添加这一行：

tls_disable_client_certs = true

我不用再提交证书了。

诚挚的问候,

M.