问题标签 [vault]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1841 浏览

https - hashcorp Vault:“初始化 tcp 类型的侦听器时出错:加载 TLS 证书时出错”我的错误在哪里?

我尝试在虚拟机 ubuntu 20.04(ip:192.168.56.9)上使用 docker-compose 运行 Vault。没有 https,已经可以正常工作了,但是当我尝试使用来自 openssl 的自签名证书将保管库放入 https 时,它不起作用。

这是我的配置:

码头工人-compose.yml

Dockerfile

我的Vault-config.conf

我如何创建.crt.key

在/home/xxx/Vault-Docker/中创建一个 cert.conf 文件:

并在 /home/xxx/Vault-Docker/ 中执行:

但是当我运行时:

然后 :

输出是:

有人告诉我我的错误在哪里?

非常感谢 !

0 投票
0 回答
1116 浏览

postgresql - 使用 postgres 存储后端时,Vault 报告缺少客户端令牌

我正在使用带有 postgres 存储后端的 Vault 以及 kv 秘密引擎。我正在使用 kubernetes 身份验证方法来获取保险库令牌。我按照以下文档使用 kubernetes 设置保险库

当我第一次启动 web 应用程序并尝试检索它正在工作的令牌时,但是当我删除 webapp 部署并尝试再次部署 webapp 并尝试使用 api 再次检索保险库令牌时

我收到以下错误

但是该请求具有服务帐户的 jwt 令牌。请看下图 Wireshark 捕获请求

由于这个错误,Pod 会不断重启,并且在一段时间后,Vault 会突然接受请求并返回 vault 令牌。

这看起来很奇怪这种行为有什么原因吗?

更新:

领事后端不会发生此问题

0 投票
0 回答
43 浏览

hashicorp-vault - 使用 Vault-OIDC 方法登录后如何将用户的 ID 令牌获取到客户端应用程序?

我有一个使用 Java 编写的 Web 应用程序。我成功通过 google 作为 OIDC 提供商验证了该应用程序。但是,我希望应用程序通过 hashcorp vault 连接到谷歌的 OIDC。我希望保险库根据保险库中设置的策略返回 access_token 以及授权。保险库可以做到这一点吗?我没有看到任何关于应用程序如何使用 oidc 的保管库并将用户的身份令牌获取到客户端应用程序的文档。任何帮助将非常感激。提前非常感谢:)

0 投票
1 回答
440 浏览

hashicorp-vault - 如何通过 CLI 将 Vault (Hashicorp) 实体添加到现有组

我在保险库实施中有几个实体(用户)。这些实体具有字母数字 ID。我还有一个叫做 ops 的小组。该组还有一个字母数字 ID。

我在这里查看了 Hashicorp 的文档:

https://learn.hashicorp.com/tutorials/vault/identity

但是,它不涵盖此特定用例。

任何帮助是极大的赞赏。

0 投票
1 回答
69 浏览

vault - 使用 Vault.service 文件以开发模式启动 Vault Server

我试图在 vault.service 文件中提供一个自定义配置文件来启动 Vault 服务器,并且按预期工作。但是,如果我尝试在开发模式更改中启动 Vault 服务器 ExecStart=/usr/local/bin/vault/vault server -dev,在这种情况下服务会退出。

另一方面,如果我手动运行/usr/local/bin/vault/vault server -dev,Vault 服务器将以开发模式启动。

是否可以使用 vault as a service 在开发模式下运行 vault 服务器?

0 投票
1 回答
3437 浏览

azure-keyvault - Vault .NET - 版本化 K/V 机密引擎的路径无效

我已在 Vault 中添加了所有配置详细信息。您可以在下面的附图中看到详细信息。这遵循特定路径,即kv/unistad/dev/workflow/camunda/1.0

在此处输入图像描述

但是,当我尝试使用带有以下 nuget 包的Vault.NET阅读此信息时

我的代码看起来像这样:

当我运行上面的代码时,我收到以下错误:

版本化的 K/V 机密引擎的路径无效。有关要使用的适当 API 端点,请参阅 API 文档。如果使用 Vault CLI,请使用“vault kv get”进行此操作。

我不确定如何解决此错误。任何帮助将非常感激。

0 投票
0 回答
888 浏览

kubernetes - Vault 代理注入器坏证书

我已经从官方 helm chart 部署了 vault,它在 HA 模式下运行,具有自动解封、启用 TLS、raft 作为后端,并且集群在 EKS 中是 1.17。我让所有的筏子追随者作为领导者加入了 Vault-0 吊舱。我已经按照本教程进行了 T 恤,但我总是以 tls 错误证书告终。http: TLS handshake error from 123.45.6.789:52936: remote error: tls: bad certificate是确切的错误。

我确实发现了完全遵循本教程的问题。他们通过管道将 kubernetes CA 传输到base64. 对我来说,这是多行的,无法部署。所以我将该输出设置为tr -d '\n'. 但这是我得到这个错误的地方。我已经尝试了启动容器并使用 curl 对其进行测试的部分,但它失败了,然后跟踪代理注入器日志,我得到了那个糟糕的证书错误。

values.yaml如果有帮助,这是我的。

我已经进入代理注入器并四处寻找。我可以看到/etc/webhook/certs/它们在那里,它们看起来是正确的。

这是我的 Vault-agent-injector 吊舱

我的保管库部署

为了找出代理注入器导致此错误的原因,我还能检查和验证或排除故障吗?

0 投票
1 回答
149 浏览

concourse - 无法从 GUI 登录大厅

我已经使用以下链接安装了带有集成库和数据库 postgress SQL 的 concourse ci。完成以下链接中给出的所有步骤,所有 4 个 docker 容器工作正常。 https://spr.com/how-to-automate-data-protection-using-concourse-ci-and-hashicorp-vault/

但是当我点击下图所示的大厅 GUI 中的登录按钮时

在此处输入图像描述

我得到以下错误

在此处输入图像描述

注意:保险库工作正常,我可以使用 (vault kv get/put) 从命令行存储和检索凭据

但是我无法继续进行大厅登录,我也尝试过使用 fly。

我是新来的大厅,你能告诉我为什么我会收到这个错误,有什么解决方案吗?

0 投票
0 回答
658 浏览

java - 未应用 Spring Vault 配置

我是 Spring Vault 的新手,对 Springboot 还有些陌生,我正在努力学习这一点,所以我需要帮助。抱歉,很长的帖子。

这是我建立的 Spring Vault 项目的来源,我在网上查看各种教程

凭据.java

凭据服务.java

DemoVaultApplication.java

VaultConfig.java

VaultRestController.java

pom.xml

当我运行这个项目时,我得到了错误

现在,根据我的理解,由于我正在扩展我VaultConfig.java的 fromAbstractVaultConfiguration我不需要 bootstrap.properties 文件来配置我的 Vault 客户端应用程序,spring 会选择这些配置并自行处理它,但显然这个没有发生并且应用程序没有启动,因为显然它需要那些 bootstrap.properties 配置。看来我的应用程序忘记了我的 VaultConfig,我在其中设置了一个简单的端点以通过 http 工作并使用我的根令牌进行身份验证。我在这里错过了什么吗?我无法弄清楚查看互联网上的示例

如果应用程序确实需要这样的 bootstrap.properties

那么 VaultConfig 和 AbstractVaultConfiguration 的意义何在?

此外,当我将 bootstrap.properties 文件放在我的项目中时,应用程序启动并且我特别提到了该属性spring.cloud.vault.scheme=http,但是当我调用我的终点时,它仍然给了我

错误期待 https 调用,我也不明白为什么。

任何帮助表示赞赏。提前致谢

0 投票
1 回答
494 浏览

amazon-web-services - 从 aws 实例发出上游请求 403 sts vault 时出错

我已将一个 IAM 角色附加到 aws 实例。该角色my-role还具有管理权限和 sts 权限。

我运行了以下命令,但出现错误。

当我通过传递区域运行 Vault 命令时,我得到的错误是

我也限制了保险库中的角色。

注意:- 我添加了 -tls-skip-verify 选项,因为证书不是有效的。