Я хочу перенести процесс, который генерирует клиентские сертификаты из пользовательского корневого ЦС в хранилище hashicorp.

Корню уже доверяют многие приложения, поэтому я хотел бы импортировать его (или промежуточное звено) в хранилище и выдать оттуда клиентские сертификаты.

Учебники просты, но всегда показывают, как создать новый корневой и промежуточный сертификат.

Как я могу инициализировать механизм секретов PKI с уже существующим корневым сертификатом через командную строку (например, хранилище написать pki/root/???) ?

Короткий ответ

• Если все, что у вас есть, это сертификат, вы просто не можете. Вам также нужен закрытый ключ.
• Если у вас есть закрытый ключ, вот вызов API для его импорта.

Длинный ответ

PKI означает «инфраструктура открытого ключа», но с этим открытым ключом приходит все самое важное. закрытый ключ. Закрытый ключ — это ключ, используемый для подписи (или создания) сертификатов для ваших приложений. Vault не имеет к этому никакого отношения, это математика, стоящая за PKI, которая требует этого.

Таким образом, ЦС нужна пара ключей (открытый и закрытый). Без закрытого ключа будет невозможно сгенерировать подпись и выдать сертификат. Вычислительно невозможно найти закрытый ключ, если у вас есть только открытый ключ (но спросите еще раз через 10 лет).

Большинство PKI не позволяют экспортировать свой закрытый ключ. Некоторые/большинство PKI подключены к аппаратному устройству с защитой от несанкционированного доступа (называемому HSM), предназначенному для предотвращения выхода закрытого ключа из своего безопасного контейнера.

Поэтому, если вы не можете получить закрытый ключ, вам придется развернуть новый сертификат эмитента. Вы можете получить сертификат Vault, подписанный вашим старым ЦС. Это сделает ваши сертификаты распознаваемыми браузерами, но теперь у вас есть 2 ЦС, которые нужно поддерживать...