GG
тот факт что можно выпустить CA и не знать его приватный ключ - это просто победа с точки зрения безопасности
поясни? я тупой
Кто-то делает с волтом из соли что-то большее чем прочитать\записать секрет?
например работать с PKI API
Size: a a a
2021 January 18
OM
Мы просто делаем вольт врайт и так подписываем сертификаты:
{%- set pki = salt['vault.write_secret'](vault_role_path,common_name=external_ip) %}
create_{{ path }}:
file.managed:
- name: {{ path }}
- contents: {{ pki[key] | yaml }}KP
поясни? я тупой
Vault позволяет выпустить CA внутри себя и приватный ключ может навсегда остатся в нем - ты не сможешь его получить. И с помощью этого CA ты можешь выпускать любое кол-во сертификатов.
То есть CA нельзя украсть в этом примере. Ну или очень сложно
То есть CA нельзя украсть в этом примере. Ну или очень сложно
GG
украсть стопудово можно )
KP
Ну хранилище волта шифрованное
KP
может как-то и можно но это явно будет сильно сложнее чем CA в пиларах 😊
GG
точно
GG
Никак не украсть.
Если не сохранил прайвет кий во время создания pki никак. Мы тут мигрируем на вольт энт и у нас проблема из за этого :)
Если не сохранил прайвет кий во время создания pki никак. Мы тут мигрируем на вольт энт и у нас проблема из за этого :)
ну, он же не может привки удалить вообще
GG
т.е. если он хранится - его - очевидно - КАКом можно украсть
OM
ну, он же не может привки удалить вообще
Они не рассказывают что да как. Но при миграции даже сам хшикорп нам сказали что все CA от которых мы не сохранили прайветы надо пересоздавать заново.
R
может как-то и можно но это явно будет сильно сложнее чем CA в пиларах 😊
зачем в пилларах? в файлике на мастере ))
OM
Мы просто делаем вольт врайт и так подписываем сертификаты:
{%- set pki = salt['vault.write_secret'](vault_role_path,common_name=external_ip) %}
create_{{ path }}:
file.managed:
- name: {{ path }}
- contents: {{ pki[key] | yaml }}Уточнение:
vault_role_path = pki_path/issue/role_name
vault_role_path = pki_path/issue/role_name
KP
Они не рассказывают что да как. Но при миграции даже сам хшикорп нам сказали что все CA от которых мы не сохранили прайветы надо пересоздавать заново.
мне кажется это прекрасно
KP
без иронии
sa
Всем привет! Такой вопрос: как по хорошему провижинить тачку с миньеном без salt-ssh чтобы с образа где установлен миньен она втыкалась в мастер. Сейчас вижу проблему, что minion_id от тачки с которой снимался образ
GG
Выкинь файл с minion_id
GG
Это первое. Второе. У тебя образ должен снимать после установки Солта, но до запуска - мы так делали. А потом при запуске машины скрипт, который получает днс имя и запускает Солт